다음 내용이 궁금하다면?
불편하시다면 뒤로 가기를 눌러주세요
'SQL 인젝션' 공격에 이름·전화번호·ID 등 대량 유출
[촬영 안 철 수]
(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회는 2만8천여명의 개인정보를 유출한 보람상조 계열사들에 과징금·과태료 약 5억5천만원을 부과했다고 14일 밝혔다.
제재 대상은 보람상조개발과 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스 등 보람상조 계열 7개사다.
개인정보위는 지난 2024년 5월 28일 보람상조개발로부터 개인정보 유출 신고를 접수한 뒤 조사에 착수했다.
조사 결과 보람상조개발은 그룹 내 계열사들로부터 온라인 고객상담 등 고객관계관리(CRM) 업무를 위탁받아, 홈페이지로 수집한 개인정보를 통합 관리하는 데이터베이스(DB)를 운영하면서 접근제어 등 안전조치를 소홀히 한 것으로 드러났다.
이 과정에서 해커는 홈페이지 취약점을 이용한 'SQL(구조적 질의 언어) 인젝션' 공격으로 DB에 침입해 이름과 휴대전화번호, ID, 비밀번호, 이메일 등 고객 개인정보를 탈취한 것으로 조사됐다. 유출된 개인정보는 총 2만7천882명분이다.
다만 여기에는 홈페이지 가입회원과 온라인상담회원의 정보가 섞여 있다고 개인정보위는 설명했다.
SQL 인젝션 공격이란 웹 애플리케이션의 보안 취약점을 이용해 악의적인 구문을 입력하여 데이터베이스를 조작하거나 정보를 탈취하는 해킹 기법을 말한다.
개인정보위는 위탁사인 6개 계열사가 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있는데도 이를 충분히 이행하지 않았다고 판단했다.
또 보람상조개발은 개인정보 유출 사실을 인지한 뒤 법정 기한인 72시간을 넘겨 정보주체에게 유출 사실을 통지했고, 보유 기간이 지난 개인정보를 파기하지 않은 사실도 확인됐다.
이에 개인정보위는 보람상조개발에 과징금 5억3천100만원과 과태료 1천140만원을 부과했다.
계열사들에는 수탁자 관리·감독 책임을 물어 총 1천150만원의 과징금을 부과하고 처분 내용을 홈페이지에 공표하라고 명령했다.
아울러 그룹 차원의 개인정보 처리 현황과 의사결정 체계를 전반적으로 점검·정비하고, 위수탁 관계의 투명성을 확보하도록 시정조치 명령을 내렸다.
현재 개인정보위는 상조업계 전반의 개인정보 처리 실태와 관행 개선 여부를 점검하기 위한 사전 실태점검도 지난 1월부터 진행 중이다.
개인정보위 관계자는 "대규모 개인정보를 처리하거나 복잡한 위수탁 구조를 가진 사업자들이 보다 투명하고 안전하게 개인정보를 처리할 수 있도록 실태점검 및 감독을 강화해 나갈 예정"이라고 말했다.
chacha@yna.co.kr
Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.
인기상품 확인하고 계속 읽어보세요!
원치 않을 경우 뒤로가기를 눌러주세요.