개인정보 보호위원회

개인정보위, 「개인정보 보호법」 위반 3개 사업자 제재
- 안전조치의무, 동의받는 방법 등 위반
- 웹 취약점을 악용한 SQL 인젝션(악의적 DB 구문 주입) 공격 예방을 위한 안전한 SW 개발 기법 적용, DB 보안 등 강조


개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 10월 11일(수) 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 3개 사업자*에 대해 총 2억 3,199만 원의 과징금과 1,620만 원의 과태료 부과 및 개선권고를 하기로 의결하였다.

* 슈나이더일렉트릭코리아㈜(전기설비 엔지니어링 서비스(B2B) 관련 웹사이트 운영): 과징금 799만 원, 과태료 420만 원신일전자㈜(제조·판매 중인 생활가전제품 온라인 홍보, 제품문의 관련 웹사이트 운영): 과징금 2억 2,400만 원, 과태료 1,080만 원㈜국민은행(알뜰폰(MVNO) 이동통신 서비스 관련 웹사이트 운영): 과태료 120만 원, 개선권고

< 슈나이더일렉트릭코리아㈜, 신일전자㈜ >

개인정보위 조사 결과에 따르면 슈나이더일렉트릭코리아㈜와 신일전자㈜는 안전조치의무를 소홀*히 하여, 해킹으로 이용자 개인정보와 관리자 계정이 탈취된 사실이 확인되었다.

* 정보통신망을 통한 불법적인 접근을 방지하기 위한 침입 차단·탐지 시스템 운영 부실, SQL 인젝션 공격을 예방하기 위한 홈페이지 입력값 검증 절차 부재, 개인정보취급자 비밀번호 암호화 미조치

아울러 신일전자㈜는 개인정보 수집 당시 명시한 보유기간을 경과한 개인정보를 파기하지 않은 사실과 개인정보 유출 통지를 지연한 사실도 추가로 밝혀졌다.

이들 2개 사업자에는 개인정보 유출과 개인정보보호 법규 위반에 따른 과징금과 과태료가 부과되었다.

< ㈜국민은행 >

한편, ㈜국민은행에 대해서는 아이피 주소(IP, 도메인, URL) 등 개인정보 수집에 관하여 정보주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 사실을 확인하여, 과태료 120만 원을 부과하고 개선권고를 명하기로 하였다.

* ‘23. 4월 필수·선택 동의 구분 등 시정을 완료하여 개선권고 부과

이번 유출 사고에서 공통적 원인이 된 SQL 인젝션 공격의 경우, 잘 알려진 웹 취약점 공격이지만 파괴력이 매우 커 개인정보처리자 등의 지속적인 주의가 필요하며, 시큐어 코딩과 데이터베이스(DB) 보안 등의 안전조치의무를 충실히 이행하는 것이 중요하다.


* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 허재형(02-2100-3129)