보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

개인정보위, 개인정보보호 법규 위반 3개 사업자 제재

입력 : 2022-06-08 16:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
안전조치 의무 위반으로 과징금 3,700만원 과태료 2,140만원 부과

[보안뉴스 원병철 기자] 개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 6월 8일(수) 제10회 전체회의를 열고, 개인정보보호 법규를 위반한 3개 사업자에 총 3,700만 원의 과징금과 2,140만 원의 과태료를 부과하기로 결정했다. 이번 조사는 해당 사업자들이 한국인터넷진흥원(KISA, 원장 이원태)에 개인정보 유출 사실을 신고함에 따라 진행되었다.

▲사업자별 위반사항에 대한 행정처분[자료=개인정보위]


조사 결과, 위더스교육, 뉴지스탁, 창비는 웹셸(Web Shell)과 SQL 인젝션(SQL Injection) 공격 등 해킹으로 인해 개인정보가 유출된 것으로 확인됐다. 웹셸은 시스템에 명령을 내릴 수 있는 코드로서 웹서버 취약점을 통해 서버 스크립트가 게재되면 해커들은 보안 시스템을 피해 별도 인증 없이 시스템에 접속이 가능해 원격으로 해당 웹서버를 조종할 수 있다. 또한 SQL 인젝션(Structured Query Language Injection) 공격은 데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 빼내는 공격 기법을 말한다.

먼저 온라인으로 원격평생교육원 서비스를 제공하는 위더스교육의 경우 파일을 온라인에 올릴 때 보안 취약사항 점검을 제대로 하지 않아, 웹셸에 의한 해킹 공격으로 수강생의 이름, 연락처 등 개인정보가 유출됐다. 또한 침입탐지·차단 시스템을 소홀하게 운영했으며, 탈퇴한 이용자 개인정보를 즉시 파기하지 않은 데다, 1년 이상 장기 미이용자의 개인정보를 다른 이용자의 개인정보와 분리하여 별도로 보관하지 않았다.

주식 데이터분석 서비스 제공업체인 뉴지스탁 역시 누리집의 자유게시판을 대상으로 보안관련 취약사항 등을 점검하지 않아, 웹셸에 의한 해킹 공격으로 이용자 연락처 등 개인정보가 유출되었다.

온라인 도서 사이트를 운영하는 창비는 SQL 질의명령문(query)과 같은 누리집 입력값에 대한 검증을 소홀히 해 개인정보가 타인에게 노출되었으며, 개인정보 취급자의 접속기록을 남기지 않는 등 개인정보의 기술적‧관리적 보호조치 의무를 다하지 않았다. 또한, 개인정보처리시스템을 운영하면서 안전한 인증수단을 적용하지 않았고, 1년 이상 장기 미이용자의 개인정보를 파기 또는 분리해 별도로 보관하지 않은 사실도 확인됐다.

양청삼 개인정보위 조사조정국장은 “비대면 활동의 비약적인 증가와 맞물려 해커의 공격으로 인한 개인정보 유출 사고가 지속적으로 발생하고 있다”라며, “사업자는 보안 취약점을 주기적으로 확인하여 개인정보처리시스템에 대한 불법적인 접근이 발생하지 않도록 하고, 안전조치 의무를 준수하고 있는지 상시 점검해야 한다”라고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)