안전조치의무 소홀/동의받는 방법 위반...SQL 인젝션 공격 기법으로 해킹 당해 이용자 개인정보 유출

[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 11일 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 3개 사업자에 대해 총 2억 3,199만 원의 과징금과 1,620만 원의 과태료 부과 및 개선권고 하기로 의결했다.


이번 개인정보위 조사 결과에 따르면, 해킹을 당해 이용자들의 개인정보 및 관리자 계정을 탈취 당한 ‘슈나이더일렉트릭코리아’와 ‘신일전자’가 2개 사업자 모두 안전조치 의무를 소홀히 한 것으로 드러났다.

전기설비 엔지니어링 서비스(B2B) 관련 웹사이트 운영 중인 슈나이더일렉트릭코리아는 과징금 799만 원, 과태료 420만 원을, 제조·판매 중인 생활가전제품 온라인 홍보 및 제품문의 웹사이트를 운영하고 있는 신일전자는 과징금 2억 2,400만 원, 과태료 1,080만 원을 부과받고 개인정보위로부터 개선권고를 받았다.

해킹을 당한 원인으로 △정보통신망을 통한 불법적인 접근 방지를 위한 침입 차단·탐지 시스템 운영 부실 △SQL 인젝션 공격 예방을 위한 홈페이지 입력값 검증 절차 부재 △개인정보취급자 비밀번호 암호화 미조치 등이 발견됐다. SQL 인젝션 공격은 웹사이트의 취약점을 이용해 악의적인 SQL(Structured Query Languang)문을 실행시켜 데이터베이스(이하 DB)를 비정상적으로 조작하는 공격 기법이다.


이는 매우 잘 알려진 웹 취약점 공격이지만 파괴력이 상당해 개인정보처리자 등의 지속적인 주의가 필요하며, 시큐어 코딩과 DB 보안 등의 안전조치의무를 충실히 이행하는 것이 중요하다고 개인정보위는 전했다.

아울러 신일전자는 개인정보 수집 당시 명시한 보유기간을 경과한 개인정보를 파기하지 않았으며, 개인정보 유출 통지를 지연한 사실도 추가로 밝혀졌으며, 국민은행은 아이피 주소(IP·도메인·URL) 등 개인정보 수집과 관련해 정보주체에게 필수·선택 사항 구분 없이 동의받은 사실이 확인되면서 과태료 120만 원과 개선권고 조치가 내려졌다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>