악의적 데이터베이스 질의어 삽입(SQL인젝션) 공격 주의 당부
중소기업은 한국인터넷진흥원(보호나라)에 신청해 취약점 점검 가능

[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 11월 22일 제19회 전체회의를 열고, 개인정보보호 법규를 위반한 ‘백패커(Backpaker)’에 대해 총 2억 2,789만원의 과징금과 360만 원의 과태료를 부과하기로 의결했다.

백패커는 핸드메이드 제품 판매 중개 및 오프라인 클래스 예약 웹사이트 등을 운영하는 업체다. 개인정보위 조사 결과, 백패커는 ‘개인정보 보호법’ 제29조의 안전조치 의무를 소홀히 한 사실이 밝혀졌다. 해킹으로 이용자 개인정보가 탈취되도록 한 사실이 확인됐고, 과징금과 과태료 부과 처분을 받게 됐다.

이번 해킹에서 이용된 SQL(Structured Query Language) 인젝션 공격은 운영 중인 누리집의 취약한 웹페이지에 악의적인 SQL이 실행되게 해 데이터베이스(DB)를 장악해 개인정보를 탈취하는 수법이다. 흔한 방식이지만 공격에 성공했을 시 큰 손해를 끼칠 수 있어 각별한 주의가 요구되는 공격이다. 그러나 흔한 만큼 간단한 취약점 예방 및 탐지·차단의 방식으로 충분히 방어할 수 있다.


개인정보위는 보안 취약점 예방을 위해 한국인터넷진흥원(KISA)에서 제공하는 가이드라인을 참고하고, ‘보안 취약점 점검’ 및 ‘소프트웨어 보안 약점 진단’ 등의 서비스를 활용한 보안 점검으로도 충분히 예방할 수 있다고 밝혔다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>