비즈니스온·엔에이치엔위투 SQL인젝션 공격에 당해
소프트웨어 보안 약점 진단 가이드와 보안 취약점 점검 서비스 활용 당부

[보안뉴스 박은주 기자] 개인정보 보호 안전 조치를 소홀히 해 고객 개인정보가 유출된 비즈니스온과 엔에이치엔위투가 과징금을 물게됐다.


27일 개인정보보호위원회(위원장 고학수)는 개인정보 보호법을 위반한 두 업체에 과징금과 시정명령 처분을 전날 전체회의에서 의결했다고 밝혔다.

개인정보위에 따르면 온라인 전자세금계산서 발생 서비스를 제공하는 ‘스마트빌’ 운영사 비즈니스온은 정체를 알 수 없는 해커의 SQL인젝션 공격을 받아 회원 정보 17만9386건을 외부로 유출했다.

SQL인젝션 공격은 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드를 주입하고 데이터베이스(DB)를 장악한 뒤 개인정보를 빼가는 수법이다.

비즈니스온은 이 공격을 예방하기 위한 방어 조처를 하지 않았다. 외부로부터 불법적인 접근을 막는 시스템 접속 권한을 아이피(IP) 주소 등으로 제한하지 않는 등 안전조치 의무를 어긴 것으로 밝혀졌다. 유출신고를 뒤늦게 한 점도 확인됐다.

개인정보위는 비즈니스온에 과징금 1억3700만원, 과태료 270만원을 부과했다.

또 법령 준수와 재발 방지를 위한 대책을 세워 이행하도록 시정명령하고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다.

엔에이치엔위투가 운영하는 패션 분야 오픈마켓 ‘가방팝’ 쇼핑몰에 입점한 ‘판매자시스템’도 SQL인젝션 공격을 받았다.

해킹으로 해당 시스템에서 보유한 53만4903건의 판매자와 고객 개인정보가 유출됐다. 유출된 정보에는 회원 주민등록번호도 포함된 것으로 확인됐다.

엔에이치엔위투는 2022년 7월 시스템 개편 당시 기존 시스템에 SQL인젝션 공격을 예방하기 위한 입력값 방어 조치를 마련하지 않고, 웹 방화벽도 비활성화한 상태로 운영했다.

2013년 2월 기존 판매자시스템의 옛 DB를 현행 DB로 이관하는 과정에서 개인정보 처리 목적이 달성된 옛 DB를 파기하지 않은 사실도 파악됐다.

여기엔 개인정보보호법상 파기 대상인 주민등록번호가 계속 보관돼 있었다.

이에 개인정보위는 엔에이치엔위투에 과징금 6110만원과 과태료 960만원을 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 했다.

개인정보위는 “개인정보처리자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 점검하고 불필요한 개인정보를 파기해야 한다”며 “SQL인젝션 공격을 예방하기 위해 한국인터넷진흥원에서 제공하는 소프트웨어 보안 약점 진단 가이드를 참고하고 보안 취약점 점검 서비스도 활용해 달라”고 당부했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>