개인정보 보호위원회

개인정보위, 안전조치 의무 위반 3개 사업자 제재
- 웹셸(악성코드) 공격 예방 위한 주기적 보안점검, 파일 실행권한 제한
- 관리자페이지에 대한 이중인증 등 접근통제 강화 권고


개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 10월 25일(수) 제17회 전체회의를 열고, 개인정보보호 법규를 위반한 3개 사업자*에 대해 총 1억 9,719만 원의 과징금과 2,730만 원의 과태료 부과를 하기로 의결하였다.

* ㈜자동차공임나라(자동차 정비 프랜차이즈업 관련 웹사이트 운영): 과징금 1,250만 원, 과태료 1,080만 원, 시정명령, 결과공표㈜오브콜스(청첩장 제작·판매 관련 웹사이트 운영): 과징금 3,371만 원, 과태료 630만 원, 결과공표㈜와이엘랜드(알뜰폰(MVNO) 이동통신 서비스(여유텔레콤) 관련 웹사이트 운영): 과징금 1억 5,098만 원, 과태료 1,020만 원, 시정명령, 결과공표

< ㈜자동차공임나라, ㈜오브콜스 >

㈜자동차공임나라와 ㈜오브콜스의 경우 웹셸(악성코드) 파일 공격*을 예방하기 위한 최신 보안 프로그램 미적용, 데이터베이스(DB)에 대한 접근권한 미통제, 이용자의 비밀번호를 안전하지 않은 방법으로 일방향 암호화하는 등 안전조치의무를 소홀히 하여, 각각 이용자 개인정보(㈜자동차공임나라: 728,680명, ㈜오브콜스: 241,241명)가 해킹으로 탈취된 사실을 확인하였다.

* 웹셸 파일 공격 : 누리집 게시판 등의 파일 올리기(업로드) 취약점을 통해 시스템에서 실행가능한 악성코드를 올리고 실행하여 관리자 권한 획득, 개인정보를 탈취하는 공격 기법

아울러, 두 사업자 모두 개인정보 유출 통지를 지연한 사실을 확인하였으며, ㈜자동차공임나라의 경우 탈퇴한 회원의 개인정보를 파기하지 않은 사실도 확인하였다.

< ㈜와이엘랜드 >

한편, ㈜와이엘랜드는 인터넷망에서 관리자페이지에 접속하는 과정에서 2차 인증 및 아이피(IP) 주소 제한 등의 조치 없이 아이디(ID)와 비밀번호만으로 접근이 가능하도록 운영하여 해킹으로 이용자 개인정보(229,600명)가 탈취되었고, 개인정보 유출 통지를 지연한 사실과 보유 목적이 종료된 이용자의 개인정보를 파기하지 않은 사실을 확인하였다.

이번 유출 사고에서 주요 원인이 된 웹셸 파일 공격의 경우, 해킹 피해를 입은 대부분의 서버에서 웹셸 파일이 발견될 정도로 잘 알려진 웹 취약점 공격(웹 해킹의 90% 정도에서 사용되고 있는 공격 기법)이므로 이에 대한 각별한 주의·예방*이 필요하다. 아울러, 관리자페이지에 대해서는 2차 인증, 접속 아이피(IP) 주소 제한 등 접근 권한·통제를 강화하여 외부 공격에 의한 유출 사고 예방에 노력을 기울여야 할 것이다.

* 웹셸 탐지 프로그램을 통한 파일 삭제, hwp·doc·pdf 등의 파일만 올리기가 가능하도록 확장자 제한 조치, 파일에 대한 실행권한 제한 등

※ 한국인터넷진흥원(KISA)은 웹셸 탐지 프로그램인 ‘휘슬’을 개발·배포(www.boho.or.kr)


* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 배혜진(02-2100-3125)