• SQL 인젝션 공격 대비 미흡… 입력값 검증, 웹방화벽 운영 철저 당부
  • '가방팝' 운영사, 파기해야 할 주민등록번호 보관 적발… 개인정보 관리 허술
class=

개인정보보호위원회(이하 개인정보위)가 개인정보 유출 사고를 일으킨 2개 사업자에 대해 총 1억 9,810만 원의 과징금과 1,230만 원의 과태료를 부과하기로 결정했다. 개인정보위는 2월 26일 제4회 전체회의를 열고 이같이 의결했다고 27일 밝혔다.

제재 대상은 온라인 전자세금계산서 발행 서비스 '스마트빌'을 운영하는 ㈜비즈니스온커뮤니케이션과 패션 분야 오픈마켓 '가방팝' 서비스를 운영하는 엔에이치엔위투㈜다. 두 회사 모두 해커의 SQL 인젝션 공격에 취약한 것으로 드러났다.

㈜비즈니스온커뮤니케이션은 지난해 11월 9일 해커의 공격으로 '스마트빌' 서비스 회원 17만 9,386명의 개인정보가 유출되는 사고를 겪었다. 개인정보위 조사 결과, 회사 측은 SQL 인젝션 공격을 막기 위한 입력값 방어 조치를 취하지 않았고, 시스템 접속권한을 IP 주소 등으로 제한하지 않아 개인정보가 유출된 것으로 확인됐다. 또한 유출 신고를 지연한 사실도 밝혀졌다.

개인정보위는 ㈜비즈니스온커뮤니케이션에 1억 3,700만 원의 과징금과 270만 원의 과태료를 부과하고, 재발방지 대책 수립 및 이행을 위한 시정명령과 함께 처분 사실을 홈페이지에 공표하도록 명령했다.

엔에이치엔위투㈜의 경우, '가방팝' 쇼핑몰 판매자시스템이 해커의 공격을 받아 53만 4,903건의 개인정보가 유출됐다. 특히 유출된 정보에는 주민등록번호도 포함돼 있었다. 회사는 2022년 7월 시스템 개편 시 기존 시스템에 대한 보안 조치를 소홀히 한 것으로 드러났다. 또한 2013년 2월 이후 파기했어야 할 주민등록번호를 계속 보관한 사실도 적발됐다.

개인정보위는 엔에이치엔위투㈜에 6,110만 원의 과징금과 960만 원의 과태료를 부과하고, 처분 사실을 홈페이지에 공표하도록 명령했다.

개인정보위는 이번 사건을 계기로 개인정보처리자들에게 안전조치 의무 사항을 상시 점검하고, 불필요한 개인정보를 파기할 것을 당부했다. 특히 SQL 인젝션 공격 예방을 위해 한국인터넷진흥원(KISA)의 '소프트웨어 보안약점 진단 가이드' 등을 참고하고, '보안취약점 점검' 서비스를 활용할 것을 권고했다. 한편, 개인정보보호위원회는 2025년 주요 정책 추진계획을 통해 AI 시대에 부합하는 개인정보 법제 정비와 함께 해외사업자의 국내 법인 및 국내대리인 우선지정 등 실효성 있는 제재 방안을 마련할 계획이라고 밝혔다.