 |
블랙야크 누리집 갈무리 |
개인정보보호위원회는 10일 개인정보보호법을 위반한 비와이엔블랙야크와 한국토픽교육센터에 과징금 14억1400만원과 과태료 270만원을 부과했다고 밝혔다.
개인정보위 조사 결과, 두 회사는 누리집 취약점을 이용한 해커의 악의적인 에스큐엘(SQL·데이터베이스 명령어) 삽입 공격을 받아 각각 이용자 34만2253명(비와이엔블랙야크), 8만4085명(한국토픽교육센터)의 개인정보를 탈취당했다.
블랙야크 운영사인 비와이엔블랙야크의 경우 누리집을 개설한 2021년 10월부터 에스큐엘 삽입 공격 취약점에 대한 점검 조처를 소홀히 했으며, 재택근무 등의 이유로 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않은 점이 확인됐다. 이에 따라 과징금 13억9100만원을 내게 됐다.
한국토픽교육센터 역시 에스큐엘 삽입 공격을 막기 위한 취약점 점검 조처를 소홀히 했으며, 개인정보취급자 접속 기록을 보관·관리하지 않은 사실이 확인됐다. 또 개인정보 유출을 인지하고 정당한 사유 없이 72시간을 경과해 개인정보위에 유출을 통지한 점도 드러났다. 이에 개인정보위는 과징금 2300만원 및 과태료 270만원 부과를 의결했다.
개인정보위는 “에스큐엘 삽입 공격은 널리 알려진 기본적인 해킹 수법임에도 불구하고 이를 예방하기 위한 보호 조처가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 웹 취약점 점검 등 보안대책을 강화하는 각별한 주의가 필요하다”고 했다.
선담은 기자 sun@hani.co.kr
▶▶[한겨레 후원하기] 시민과 함께 민주주의를!
▶▶민주주의, 필사적으로 지키는 방법 [책 보러가기]
▶▶한겨레 뉴스레터 모아보기
이 기사의 카테고리는 언론사의 분류를 따릅니다.
