개인정보위, 구매 중개 '백패커'에 과징금 2억2700만원 철퇴
2023-11-23 10:00
엠비아이솔루션 등 업체엔 시정명령
전날 22일 제19회 전체회의 의결
전날 22일 제19회 전체회의 의결
개인정보보호위원회는 지난 22일 열린 제19회 전체회의에서 개인정보 보호법을 위반한 구매 중개 웹사이트 업체 백패커에 과징금 2억 2789만원과 과태료 360만원 부과 조치를 의결했다고 밝혔다.
조사 결과, 백패커는 개인정보 보호법 제29조의 안전조치 의무를 소홀히 했다. 특히 홈페이지 입력값 검증 절차가 부재해 SQL인젝션 해킹 공격을 받은 것이 확인됐다.
SQL인젝션 공격은 웹페이지의 보안 허점을 악용해 SQL문을 주입·실행함으로써 데이터베이스(DB)가 비정상적인 동작을 하도록 조작하는 방식이다. 이 공격은 업체 등 타깃에 큰 피해를 줄 수 있어 주의가 요구되지만, 간단한 취약점 예방과 탐지·차단 방식으로 충분히 방어가 가능한 것으로 알려져 있다.
전날 전체회의에서 엠비아이솔루션·다배송 등 개인정보 처리를 대행하는 업체 두 곳은 시정조치 명령을 받았다.
엠비아이솔루션은 해커가 관리자 계정으로 서버에 접속해 이름·전자우편·주문내역 등이 포함된 고객사의 상담 내역 8만 7270건을 유출했다. DB에 접속할 수 있는 관리자 계정의 비밀번호를 형상관리 서버에 암호화하지 않은 등 개인정보 안정성 확보 조치가 미흡한 것이 원인이었다.
게다가 엠비아이솔루션·다배송은 개인정보가 유출된 이용자에 개인정보 유출 사실을 통지하지 않았다. 이에 개인정보위는 해당 2개 사업자에 △개인정보 보호법이 규정한 안전 조치·유출 통지 등 의무를 준수하고 △재발 방지 대책을 수립·이행하는 등 내용의 시정조치 명령을 의결했다.
개인정보위 관계자는 "다수 위탁자로부터 개인정보 처리를 위탁받은 대형 수탁자는 처리하는 개인정보의 규모가 크기 때문에 강화된 개인정보 보호 책임 의식을 가져야 한다"면서 "안전조치 의무를 다할 수 있도록 상시 점검해야 할 필요가 크다"고 말했다.