개인정보보호위원회(위원장 고학수)는 9일 제15회 전체회의를 열고 개인정보 보호 법규를 위반한 비와이엔블랙야크와 한국토픽교육센터에 총 14억 1400만 원의 과징금과 270만 원의 과태료를 부과하고, 공표 명령을 하기로 의결했다.
비와이엔블랙야크는 의류 용품 등 제조·판매 서비스를 운영하고 있고, 한국토픽교육센터는 온라인 교육 콘텐츠 서비스를 운영하고 있다.
비와이엔블랙야크:과징금 13억 9100만 원 부과, 공표 명령
해커는 2025년 3월 1일부터 4일까지 4일간 비와이엔블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도해 관리자 계정 정보(아이디, 비밀번호)를 탈취했다. 이후 해커는 탈취한 계정 정보로 관리자 페이지에 로그인 후 이용자 34만2253명의 개인정보(이름, 성별, 생년월일, 휴대폰 번호, 주소 일부(동·호수 등)를 내려받아 탈취했다. 에스큐엘(SQL, Structured Query Language) 삽입 공격은 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문이 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.
개인정보위 조사 결과, 비와이엔블랙야크는 웹사이트를 개설한 2021년 10월부터 에스큐엘(SQL) 삽입 공격 취약점에 대한 점검·조치를 소홀히 했다. 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않은 사실이 확인됐다.
이에 따라 개인정보위는 비와이엔블랙야크에 과징금 13억 9100만 원과 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
한국토픽교육센터:과징금 2300만 원 및 과태료 270만 원 부과, 공표 명령
해커는 2024년 3월 12일 한국토픽교육센터가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도해 데이터베이스(DB) 내 이용자 8만4085명(중복 포함)의 개인정보(아이디, 비밀번호(암호화), 이름, 생년월일, 성별, 연락처, 휴대폰 번호, 이메일, 주소 등이며, 유출 항목별 유출 건수는 상이함) 탈취 후 텔레그램에 공개했다.
개인정보위 조사 결과, 한국토픽교육센터는 운영 중인 웹사이트에 에스큐엘(SQL) 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 했고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않은 사실이 확인됐다. 아울러, 개인정보 유출을 인지하고 정당한 사유 없이 72시간을 경과해 유출 통지한 사실도 확인됐다.
관련기사
- 민주당, 김홍일 방통위원장 탄핵 추진..."6월내 통과 목표"2024.06.27
- 김홍일 위원장 "2인 체제 방통위, 바람직하지 않지만 위법 아니다”2024.06.21
- LG 구광모 6년...AI·바이오·클린테크 키운다2024.06.28
- 화재 막는 배터리 진단기술 뜬다...민테크, 상장 후 존재감 '쑥쑥'2024.06.28
