개인정보위, 구매 중개 '백패커'에 과징금 2억2700만원 철퇴

2023-11-23 10:00
  • 글자크기 설정

엠비아이솔루션 등 업체엔 시정명령

전날 22일 제19회 전체회의 의결

고학수 개인정보보호위원회 위원장이 지난 22일 오후 서울 종로구 정부서울청사에서 열린 제19회 전체회의에서 모두발언을 하고 있다. [사진=개인정보위]

개인정보보호위원회는 지난 22일 열린 제19회 전체회의에서 개인정보 보호법을 위반한 구매 중개 웹사이트 업체 백패커에 과징금 2억 2789만원과 과태료 360만원 부과 조치를 의결했다고 밝혔다.

조사 결과, 백패커는 개인정보 보호법 제29조의 안전조치 의무를 소홀히 했다. 특히 홈페이지 입력값 검증 절차가 부재해 SQL인젝션 해킹 공격을 받은 것이 확인됐다.
SQL인젝션 공격은 웹페이지의 보안 허점을 악용해 SQL문을 주입·실행함으로써 데이터베이스(DB)가 비정상적인 동작을 하도록 조작하는 방식이다. 이 공격은 업체 등 타깃에 큰 피해를 줄 수 있어 주의가 요구되지만, 간단한 취약점 예방과 탐지·차단 방식으로 충분히 방어가 가능한 것으로 알려져 있다.

개인정보위는 보안 취약점 예방을 위해 한국인터넷진흥원(KISA)이 제공하는 가이드라인을 참고하고, 보안 취약점 점검과 소프트웨어 보안 약점 진단 등 서비스를 활용한 보안 점검을 실시하라고 권고했다.

전날 전체회의에서 엠비아이솔루션·다배송 등 개인정보 처리를 대행하는 업체 두 곳은 시정조치 명령을 받았다.

엠비아이솔루션은 해커가 관리자 계정으로 서버에 접속해 이름·전자우편·주문내역 등이 포함된 고객사의 상담 내역 8만 7270건을 유출했다. DB에 접속할 수 있는 관리자 계정의 비밀번호를 형상관리 서버에 암호화하지 않은 등 개인정보 안정성 확보 조치가 미흡한 것이 원인이었다.

다배송은 배송정보 관리자 페이지에 대한 로그인 검증 절차를 누락해 누구나 해당 페이지에 배송자의 개인정보(이름·주소·전화번호·개인통관부호 등)를 조회할 수 있도록 운영했다. 이로 인해 배송 정보 700건이 유출됐다.

게다가 엠비아이솔루션·다배송은 개인정보가 유출된 이용자에 개인정보 유출 사실을 통지하지 않았다. 이에 개인정보위는 해당 2개 사업자에 △개인정보 보호법이 규정한 안전 조치·유출 통지 등 의무를 준수하고 △재발 방지 대책을 수립·이행하는 등 내용의 시정조치 명령을 의결했다.

개인정보위 관계자는 "다수 위탁자로부터 개인정보 처리를 위탁받은 대형 수탁자는 처리하는 개인정보의 규모가 크기 때문에 강화된 개인정보 보호 책임 의식을 가져야 한다"면서 "안전조치 의무를 다할 수 있도록 상시 점검해야 할 필요가 크다"고 말했다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기