개인정보위, 구매 중개 '백패커'에 과징금 2억2700만원 철퇴

고학수 개인정보보호위원회 위원장이 지난 22일 오후 서울 종로구 정부서울청사에서 열린 제19회 전체회의에서 모두발언을 하고 있다. [사진=개인정보위]

개인정보보호위원회는 지난 22일 열린 제19회 전체회의에서 개인정보 보호법을 위반한 구매 중개 웹사이트 업체 백패커에 과징금 2억 2789만원과 과태료 360만원 부과 조치를 의결했다고 밝혔다.

조사 결과, 백패커는 개인정보 보호법 제29조의 안전조치 의무를 소홀히 했다. 특히 홈페이지 입력값 검증 절차가 부재해 SQL인젝션 해킹 공격을 받은 것이 확인됐다.

SQL인젝션 공격은 웹페이지의 보안 허점을 악용해 SQL문을 주입·실행함으로써 데이터베이스(DB)가 비정상적인 동작을 하도록 조작하는 방식이다. 이 공격은 업체 등 타깃에 큰 피해를 줄 수 있어 주의가 요구되지만, 간단한 취약점 예방과 탐지·차단 방식으로 충분히 방어가 가능한 것으로 알려져 있다.

개인정보위는 보안 취약점 예방을 위해 한국인터넷진흥원(KISA)이 제공하는 가이드라인을 참고하고, 보안 취약점 점검과 소프트웨어 보안 약점 진단 등 서비스를 활용한 보안 점검을 실시하라고 권고했다.

관련기사

• '라인 사태' 관련 개인정보위에 협조 요청한 日 "이례적…아직 답 안해"
• 개인정보위 "알리·테무 개인정보법 위반 여부, 상반기 중 결정할 것"

전날 전체회의에서 엠비아이솔루션·다배송 등 개인정보 처리를 대행하는 업체 두 곳은 시정조치 명령을 받았다.

엠비아이솔루션은 해커가 관리자 계정으로 서버에 접속해 이름·전자우편·주문내역 등이 포함된 고객사의 상담 내역 8만 7270건을 유출했다. DB에 접속할 수 있는 관리자 계정의 비밀번호를 형상관리 서버에 암호화하지 않은 등 개인정보 안정성 확보 조치가 미흡한 것이 원인이었다.

다배송은 배송정보 관리자 페이지에 대한 로그인 검증 절차를 누락해 누구나 해당 페이지에 배송자의 개인정보(이름·주소·전화번호·개인통관부호 등)를 조회할 수 있도록 운영했다. 이로 인해 배송 정보 700건이 유출됐다.

게다가 엠비아이솔루션·다배송은 개인정보가 유출된 이용자에 개인정보 유출 사실을 통지하지 않았다. 이에 개인정보위는 해당 2개 사업자에 △개인정보 보호법이 규정한 안전 조치·유출 통지 등 의무를 준수하고 △재발 방지 대책을 수립·이행하는 등 내용의 시정조치 명령을 의결했다.

개인정보위 관계자는 "다수 위탁자로부터 개인정보 처리를 위탁받은 대형 수탁자는 처리하는 개인정보의 규모가 크기 때문에 강화된 개인정보 보호 책임 의식을 가져야 한다"면서 "안전조치 의무를 다할 수 있도록 상시 점검해야 할 필요가 크다"고 말했다.