코다스디자인·스피드옥션 안전조치 의무 위반으로 과징금 및 과태료 부과
다양한 해킹(SQL 인젝션, 웹셸 등) 공격으로 인한 개인정보 유출 주의

[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 12월 13일 제20회 전체회의를 열고, 개인정보보호 법규를 위반한 2개 사업자(코다스디자인, 스피드옥션)에 대해 총 2억 2,343만원의 과징금과 1,440만원의 과태료를 부과하기로 의결했다.


가구 제작·판매 관련 웹사이트를 운영하는 ‘코다스디자인’은 해커의 SQL 인젝션(웹사이트의 취약점을 이용해 데이터베이스(DB)를 조작, 개인정보를 유출하는 공격) 공격으로 이용자의 개인정보(3만 8,209명)가 유출됐는데, 해킹 공격을 당한 웹사이트의 입력값 검증 등 보안 취약점에 대한 점검·조치 등 안전조치 의무를 제대로 지키지 않은 사실 확인됐다.

웹사이트를 통해 부동산 경매정보를 제공하는 ‘스피드옥션’은 해커가 웹사이트 보안 취약점을 이용해 웹셸(악성코드)을 업로드하고 데이터베이스(DB)에 접근해 이용자의 개인정보를 유출했다. 웹사이트에 대한 웹셸 공격을 예방하는 기본 조치인 파일 업로드 확장자 및 실행권한 제한 등 보안 취약점 조치, 데이터베이스(DB)에 대한 접근 권한을 아이피(IP) 주소로 제한하는 등 안전조치 의무를 준수하지 않은 사실을 확인했다.

이번에 처분한 2개 사업자는 모두 웹 보안 취약점으로 인한 해킹 공격으로 개인정보가 유출된 경우다. 인터넷 웹사이트를 운영하는 사업자는 주기적으로 웹 보안 취약점을 점검하고 조치해야 한다. 특히, SQL 인젝션이나 웹셸 공격은 잘 알려진 웹 취약점 공격이지만, 파괴력은 매우 커 데이터베이스(DB) 보안 등에 각별한 주의·예방이 필요하다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>