개인정보 보호위원회

엔에이치엔커머스㈜ 구형 쇼핑몰 솔루션(‘e나무’) 개인정보 유출사고 제재

- 보안 사각지대에 방치된 구형 솔루션에서 사고 발생, 신형 대체 솔루션 제공 권고 

  개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 1월 28일(수) 제2회 전체회의를 열고, 개인정보 보호 법규를 위반한 엔에이치엔커머스㈜(이하 ‘엔에이치엔커머스’)에게 과징금 870만 원, 과태료 450만 원 및 공표명령을 부과하기로 의결했다. 구체적인 위반 내용과 처분 결과는 다음과 같다.

< 유출 경위 및 내용 >

  엔에이치엔커머스는 쇼핑몰 구축을 원하는 이용사업자들에게 SaaS*방식의 ‘e나무’ 솔루션을 제공하고 있다. 해당 솔루션의 장바구니 관련 웹페이지에서 ’24.9월 경 SQL 인젝션** 공격으로 17개 이용사업자(근린생활시설 등을 운영하는 소상공인 또는 중소기업) 홈페이지에서 총 122건***의 주문자 개인정보가 유출되는 사고가 발생하였다.

  * SaaS(Software as a Service, 서비스형 소프트웨어) : 소프트웨어를 서버 등에 설치하지 않고 인터넷을 통해 클라우드 형태로 제공하는 방식

 ** 공격자가 데이터베이스(DB) 질의어(SQL쿼리)를 비정상 조작하여 권한 없는 정보에 접근할 수 있는 해킹 기법

*** 주문자 정보(이름, 전화번호, 휴대폰번호), 배송지 정보(우편번호, 주소), 주문 정보(주문번호, 주문날짜, 결제 방법, 배송비), 상품 정보(상품명, 결제 금액, 상품 가격) 등

  이번에 문제가 발생한 ‘e나무’의 해당 솔루션은 서비스를 개시한지 약 10여년이 지난 구형 솔루션으로 기술지원 및 보안관리가 제대로 이루어지지 못하고 있고, 대부분의 이용사업자가 차세대 솔루션으로 이전을 완료한 상태다. 그러나 소수의 영세 이용사업자들이 홈페이지 이전·재구축을 하지 못하고 기존의 ‘e나무’ 솔루션을 계속 이용하던 중 이번 개인정보 유출 사고가 발생했다. 

  엔에이치엔커머스는 웹페이지의 개발주체 및 서버 운영주체로서 SQL 인젝션 공격의 발생 사실과 유출된 개인정보의 범위·내용을 즉시 확인하고 개인정보위에 대한 유출 신고를 72시간 내 완료하였다. 다만, 이용사업자들에게 일회성으로 이메일·전화를 발송했을 뿐 통지가 제대로 도달했는지를 확인하지 않았다. 또한 엔에이치엔커머스는 상황을 인식하지 못한 일부 이용사업자들(예: 1인 기업)이 있음을 인지하고 있었고, 개인정보가 유출된 정보주체의 연락처를 알았음에도 직접 유출통지를 하는 등의 후속조치를 취하지 아니하여 결국 정보주체에 대한 유출 통지가 72시간 내 이루어지지 않은 결과를 초래했다.

< 처분 결과 및 의의 >

  개인정보위는 엔에이치엔커머스가 SQL 인젝션 공격을 막기 위해 요구되는 개인정보 보호법상 안전조치를 불이행한 부분에 대해 과징금 870만 원을, 정보주체에 대해 유출통지를 완료하지 못한 부분에 대해 과태료 450만 원을 각각 부과하고, 행정처분을 받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다. 

  나아가 개인정보위는 구형 ‘e나무’ 솔루션의 낮은 이용률, 전담 조직 해체 상황, 과거 유사 해킹 전력* 등을 고려할 때 향후 안전성 확보조치 이행을 객관적으로 기대하기 어렵다고 판단하고, ‘e나무’ 솔루션(임대형·무료형)의 기존 이용사업자 중 웹사이트를 계속 운영하려는 자에게는 대체 솔루션을 제공하고 해당 이용사업자의 웹사이트 이관 작업을 지원할 것을 개선권고하였다.

  * ‘e나무’는 유사한 SQL 인젝션 공격을 당해 개인정보가 유출되어 과징금을 부과 받은 전력 있음(방통위 제2019-44-260호 의결)

 ** 이용사업자들에게도 대체 솔루션으로 홈페이지 이관하고 향후 개인정보 보호법 준수할 것을 권고함

  개인정보위는 “대형 수탁자가 역할에 걸맞은 개인정보 보호조치를 이행해야만 영세 소상공인을 포함한 다수 이용사업자들의 보안 수준 또한 달성될 수 있다”고 강조하였다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사3팀 권순우(02-2100-3155)