회원들의 개인정보를 유출한 화장품 온라인 쇼핑몰 운영사 ‘네오팜’과 낚시용품 온라인 쇼핑몰 운영사 ‘일학’이 과징금을 물게 됐다.
개인정보보호위원회는 개인정보보호 법규를 위반한 2개 사업자에 대해 총 1억2317만원의 과징금과 1080만원의 과태료를 부과한다고 24일 밝혔다.
네오팜에는 과징금 1억517만원과 과태료 720만원이 부과됐다. 개인정보위 조사 결과 해커는 사전에 획득한 쇼핑몰 관리자 계정 정보로 웹 관리자 페이지에 접속해 전체 회원 29만3723명의 개인정보를 탈취했다. 해커는 지난해 8월 2주간 쇼핑몰 웹 관리자 페이지에 750여회 접근해 회원정보를 조회하고 내려받았으며, 약 44만건의 불법 문자도 발송했다.
이처럼 대규모 유출사고가 발생하게 된 원인은 네오팜의 개인정보처리시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인이 가능하게 운영돼왔기 때문이다. 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등을 제한하지 않는 등 안전조치의무를 위반했다.
아울러 네오팜이 개인정보취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리를 소홀히 하고, 유출된 이용자 대상으로 개인정보 유출 통지를 지연한 사실도 확인됐다.
일학은 과징금 1800만원과 과태료 360만원을 부과받았다. 일학은 지난해 12월 이틀간 해커의 SQL(데이터베이스 조회 등을 위해 사용하는 프로그램 언어) 삽입 공격을 받아 개인정보가 유출됐다. SQL 삽입 공격은 해커가 웹사이트 취약점을 이용해 악의적인 SQL 명령어를 실행하게 해 데이터베이스를 비정상적으로 조작하는 공격 기법을 말한다. 개인정보를 유출한 해커는 일학의 쇼핑몰 게시판에 1만명의 개인정보를 게시했다.
일학은 낚시용품 쇼핑몰을 운영하면서 웹 관리자 페이지 로그인 시 안전한 인증수단을 적용하지 않았던 것으로 나타났다. 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실했던 것으로 확인됐다. SQL 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치의무도 위반했다고 개인정보위는 설명했다.
개인정보위 관계자는 “회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다”며 “SQL 삽입 공격처럼 잘 알려진 웹 취약점 공격에 대해선 적절한 보안조치 등 지속적인 주의가 필요하다”고 말했다.