34만명 개인정보 해커에 털린 블랙야크…과징금 14억 철퇴

(블랙야크제공)

(서울=뉴스1) 이기림 기자 = 글로벌 아웃도어 브랜드 블랙야크를 운영하는 비와이엔블랙야크와 온라인 교육 콘텐츠 서비스 운영사 한국토픽교육센터가 개인정보 보호 법규를 위반으로 총 14억 1400만 원의 과징금 및 270만 원의 과태료를 부과받았다.

개인정보보호위원회는 지난 9일 제15회 전체회의를 열고, 이같은 처분을 하기로 의결했다고 10일 밝혔다. 위원회는 법규 위반 사실 및 처분 결과 공표 명령도 함께 내렸다.

개인정보위 조사 결과, 비와이엔블랙야크는 웹사이트를 개설한 2021년 10월부터 에스큐엘(SQL) 삽입 공격 취약점에 대한 점검·조치를 소홀히 했다.

재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않은 사실도 확인됐다.

결국 해커는 지난 3월 1~4일 비와이엔블랙야크가 운영하는 웹사이트에 SQL 삽입 공격을 시도해 관리자 계정 정보를 탈취했다.

이후 해커는 탈취한 계정 정보로 관리자 페이지에 로그인 후 이용자 34만 2253명의 개인정보를 내려받아 탈취했다. 개인정보에는 이름, 성별, 생년월일, 휴대전화 번호, 주소 일부 등이 포함됐다.

개인정보위는 비와이엔블랙야크에 과징금 13억 9100만 원과 처분 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.

또한 개인정보위는 한국토픽교육센터에 과징금 2300만 원과 과태료 270만 원을 부과하고, 처분 사실을 홈페이지에 공표하라고 명령했다.

해커는 지난해 3월 12일 한국토픽교육센터가 운영하는 웹사이트에 SQL 삽입 공격을 시도해 데이터베이스(DB) 내 이용자 8만 4085명(중복포함)의 개인정보를 탈취 후 텔레그램에 공개했다.

개인정보에는 아이디, 비밀번호, 이름, 생년월일, 성별, 연락처, 이메일, 주소 등이 포함됐다.

개인정보위 조사 결과, 한국토픽교육센터는 웹사이트에 SQL 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 했고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않았다. 개인정보 유출 인지 후 정당한 사유 없이 72시간을 지나 유출 통지한 사실도 확인됐다.

lgirim@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.