개인정보 보호위원회

개인정보위, 안전조치 의무 위반 사업자 제재

- 악의적 데이터베이스 질의어 삽입(SQL 인젝션) 공격 주의 당부!!!

- 중소기업은 한국인터넷진흥원(보호나라)에 신청하여 취약점 점검 가능

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 11월 22일(수) 제19회 전체회의를 열고, 개인정보보호 법규를 위반한 ㈜백패커*에 대해 총 2억 2,789만 원의 과징금과 360만 원의 과태료를 부과하기로 의결하였다.

  * ㈜백패커(핸드메이드 제품 판매 중개 및 오프라인 클래스 예약 웹사이트 운영)

  개인정보위 조사 결과, ㈜백패커는 「개인정보 보호법」 제29조의 안전조치 의무를 소홀히*하여, 해킹으로 이용자 개인정보가 탈취되도록 한 사실이 확인되었으며, 이에 따라 과징금과 과태료 부과 처분을 받게 되었다.

  * SQL인젝션 공격을 예방하기 위한 홈페이지 입력값 검증 절차 소홀

  이번 해킹에서 이용된 SQL인젝션 공격*은 운영 중인 누리집의 취약한 웹페이지에 악의적인 SQL문이 실행되게 함으로써 데이터베이스(DB)를 장악해 개인정보를 탈취하는 수법이다. 매우 흔하고 공격에 성공하면 큰 피해를 입힐 수 있어 각별한 주의가 요구되는 공격이지만 반면, 간단한 취약점 예방 및 탐지∙차단의 방식으로 충분히 방어가 가능한 방식이기도 하다.

  * SQL인젝션 공격 : 웹페이지의 보안 허점을 이용해 악의적인 SQL문을 주입하고 실행되게 함으로써 데이터베이스가 비정상적인 동작을 하도록 조작

  아울러, 보안 취약점 예방을 위해 한국인터넷진흥원에서 제공하는 가이드라인을 참고하고, ‘보안 취약점 점검’ 및 ‘소프트웨어 보안 약점 진단’ 등의 서비스를 활용한 보안 점검으로도 충분히 예방 가능하다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사3팀 서인숙(02-2100-3154)