주메뉴 바로가기 본문 바로가기

전자정부 누리집 로고 이 누리집은 대한민국 공식 전자정부 누리집입니다.

확대수치
글자크기 100%

개인정보 보호위원회

다시 대한민국! 새로운 국민의 나라

보도자료 게시판 상세 테이블

보도자료 게시판 상세 테이블로 제목, 작성부서, 작성자, 작성일, 조회수, 내용, 첨부파일의 정보를 제공

제목 개인정보위, 안전조치 의무를 위반한 2개 사업자 제재
작성부서 조사2과 작성자 허재형(02-2100-3129)
작성일 2024-10-24 조회수 7708
첨부파일 목록
첨부파일 241024 (석간) 개인정보위, 안전조치 의무를 위반한 2개 사업자 제재(조사2과).hwpx 다운로드
첨부파일 241024 (석간) 개인정보위, 안전조치 의무를 위반한 2개 사업자 제재(조사2과).pdf 다운로드
페이지 URL

개인정보위, 안전조치 의무를 위반한 2개 사업자 제재

- 데이터베이스와 연동된 웹 관리자페이지 주기적 계정 관리, 보안 점검 등 당부

- 에스큐엘(SQL) 인젝션(악의적 데이터베이스 구문 주입) 공격 예방을 위한 웹 취약점 점검·조치 등 강조



  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 10월 23일(수) 제17회 전체회의를 열고, 개인정보보호 법규를 위반한 2개 사업자*에 대해 총 1억 2,317만 원의 과징금과 1,080만 원의 과태료를 부과하기로 의결하였다.


   * ㈜네오팜 : 화장품 등 판매 온라인 쇼핑몰 웹사이트 운영 사업자㈜일학 : 낚시용품 등 판매 온라인 쇼핑몰 웹사이트 운영 사업자


  개인정보 유출 신고에 따라 조사가 이루어진 이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다.


  ① ㈜네오팜 : 과징금 1억 517만 원과 과태료 720만 원 부과, 결과 공표


  조사 결과, 해커는 사전에 획득한 ㈜네오팜이 운영 중인 쇼핑몰 관리자 계정 정보를 통해 쇼핑몰의 웹 관리자 페이지에 접속하여, 쇼핑몰 전체 회원인 293,723명의 개인정보를 탈취하였다. 특히, 해커는 ’23. 8. 5.부터 약 2주 동안 쇼핑몰 웹 관리자 페이지에 750여 회 접근해 회원정보를 조회하고 내려받았으며, 약 44만 건의 불법 문자도 발송하였다.


  이렇게 대규모 유출사고가 발생하게 된 것은 ㈜네오팜의 개인정보처리시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인이 가능하게 운영되고 있었고, 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등을 제한하지 않는 등 안전조치의무를 위반했기 때문이다.


  아울러, ㈜네오팜이 개인정보취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리도 소홀한 사실과, 유출된 이용자 대상으로 개인정보 유출 통지를 지연한 사실도 확인하였다.


  이에 개인정보위는 과징금 1억 517만 원과 과태료 720만 원을 부과하고, 개인정보위 홈페이지에 그 결과를 공표하기로 하였다.


  ② ㈜일학 : 과징금 1,800만 원과 과태료 360만 원 부과, 공표 명령


  ㈜일학은 ’23. 12. 17.부터 이틀간 해커의 에스큐엘(SQL) 삽입 공격*을 받아 개인정보가 유출되었는데, 개인정보를 유출한 해커는 ㈜일학의 쇼핑몰 게시판에 10,000명의 개인정보를 게시하기도 하였다.


   * 에스큐엘(SQL, Structured Query Language) 삽입 공격 : 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 조회 등을 위해 사용하는 프로그램 언어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법


  조사 결과, ㈜일학은 낚시용품 쇼핑몰을 운영하면서 웹 관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실했던 것으로 확인되었다.


  아울러, 에스큐엘(SQL) 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치의무도 위반한 것으로 확인되었다.


  이에 개인정보위는 과징금 1,800만 원과 과태료 360만 원을 부과하고, 사업자 홈페이지에 그 사실을 공표하도록 명령하였다.


  웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 하며, 에스큐엘(SQL) 삽입 공격처럼 잘 알려진 웹 취약점 공격에 대해서는 적절한 보안조치 등 지속적인 주의가 필요하다고 개인정보위는 밝혔다.



* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.


- 담당자 : 조사2과 허재형(02-2100-3129)

해당 페이지의 만족도와 소중한 의견 남겨주세요.

등록