관리자 계정 뺏기고, 정보 유출까지…하스·바텍엠시스 제재

[디지털데일리 김보민기자] 관리자 계정을 탈취 당해 정보 유출 사고를 낸 기업에 대한 제재 결정이 내려졌다.

개인정보보호위원회는 전날 전체회의를 통해 개인정보보호 법규를 위반한 하스와 바텍엠시스에 과징금과 과태료를 부과하기로 의결했다고 27일 밝혔다. 하스와 바텍엠시스는 의료기기 제조 및 판매 서비스를 운영하는 기업이다.

하스에게는 과징금 1억3300만원과 과태료 780만원이 부과됐다. 개인정보위에 따르면 해커는 하스 관리자 계정을 획득해 관리 페이지에 접속했고, 733명 개인정보를 탈취해 다크웹에 게시했다. 여기에는 이름, 이메일, 휴대폰번호, 직업 등 내용이 포함됐다.

조사 결과 하스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 안전한 인증수단을 적용하지 않았다. 관리자 페이지에 대한 접속기록을 보관하지 않은 사실도 확인됐다. 또한 이용자 개인정보가 다크웹에 게시된 사실을 한국인터넷진흥원(KISA)으로부터 전달받았지만 유출 신고 및 통지 등 조치를 지연했다.

바텍엠시스에게는 과징금 5520만원이 부과됐다. 조사에 따르면 해커는 바텍엠시스 관리자 계정을 획득해 페이지에 접속한 후, 9637명 개인정보를 다운로드해 유출했다. 바텍엠시스는 다수 개인정보취급자가 관리자 권한이 부여된 단일 계정을 공유해 사용했고, 외부에서 관리자 페이지에 접속을 허용하면서 인증수단을 적용하지 않은 것으로 나타났다.

한편 개인정보위는 이번 조사 결과를 바탕으로 '관리자 페이지를 통한 개인정보 유출 예방 방안'을 협단체와 공유하고 안내할 계획이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -