개인정보위, 블랙야크·한국토픽교육센터에 14억 과징금·과태료 부과

SQL 삽입 공격으로 홈페이지 해킹

블랙야크 34만 명·센터 8만 명 유출

사진 제공=블랙야크

개인정보보호위원회가 비와이엔블랙야크와 한국토픽교육센터에 총 14억 1400만 원의 과징금과 270만 원의 과태료를 부과한다고 10일 밝혔다.

개인정보위는 전일 제15회 전체회의를 열고 이 같은 내용을 의결했다. 우선 개인정보위는 비와이엔블랙야크에는 과징금 13억 9100만 원과 공표 명령을 처분했다. 개인정보위 조사에 따르면 해커는 올해 3월 1~4일동안 비와이엔블랙야크가 운영하는

웹사이트에 SQL(데이터베이스 명령어) 삽입 공격을 시도해 관리자의 아이디·비밀번호를 탈취했다. 이후 해커는 탈취한 계정 정보로 관리자 페이지에 로그인 후이용자 34만 2253명의 개인정보(이름·생년월일 등)를 내려받았다. SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적인 SQL을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법을 뜻한다.



개인정보위 조사 결과 이 과정에서 비와이엔블랙야크는 웹사이트를 개설한 2021년부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했으며, 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디·비밀번호 외 안전한 인증수단을 적용하지 않은 사실이 확인됐다.

개인정보위는 한국토픽교육센터에는 과징금 2300만 원과 과태료 270만 원을 부과했다. 또 이 사실을 홈페이지에 알릴 것(공표 명령)을 처분했다. 해커는 지난해 3월 한국토픽교육센터가 운영하는 웹사이트에 SQL 삽입 공격을 시도해 데이터베이스 내 이용자 8만 4085명(중복 포함)의 개인정보(이름·생년월일 등)를 탈취 후 텔레그램에 공개했다.

개인정보위 조사 결과, 한국토픽교육센터 역시 운영 중인 웹사이트에 SQL 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 한 사실이 확인됐다. 또한 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않았다. 아울러, 개인정보 유출을 인지하고 정당한 사유 없이 72시간을 경과하여 유출 통지한 사실도 확인됐다.

개인정보위는 “디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어, 권한 있는 사용자인지를 판별하기 위해서는 아이디·비밀번호 외 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌다”며 “SQL 삽입 공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다”고 강조했다.