데이터베이스와 연동된 웹 관리자페이지 주기적 계정 관리, 보안 점검 등 당부
SQL 인젝션공격 예방을 위한 웹 취약점 점검·조치 등 강조
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 개인정보위)가 개인정보보호 법규를 위반한 화장품 제조사 ‘네오팜’과 낚시용품 온라인 쇼핑몰 운영사 ‘일학’에 과징금 총 1억 2,317만원을 부과했다.
▲(위쪽부터)네오팜 로고, 일학이 운영하는 쇼핑몰 군계일학 로고[로고=네오팜, 일학]
개인정보위가 10월 23일 제17회 전체회의를 열고, 개인정보보호 법규를 위반한 네오팜에 과징금 1억 517만원과 과태료 720만원, 일학에 과징금 1,800만원과 과태료 360만원을 부과하기로 의결했다.
아토팜, 리얼베리어, 더마비 등 화장품을 판매하는 쇼핑몰 ‘네오팜’은 전체 회원 29만 3,723명의 개인정보를 탈취당했다. 조사결과 해커는 네오팜 쇼핑몰 관리자 계정 정보를 통해 웹 관리자 페이지에 접속해 개인정보를 탈취한 것으로 드러났다. 특히, 2023년 8월 5일부터 약 2주 동안 쇼핑몰 웹 관리자 페이지에 750여 회 접근해 회원정보를 조회하고 내려받았으며, 약 44만 건의 불법 문자도 발송했다.
개인정보위는 대규모 유출 사고가 발생하게 된 원인으로 네오팜이 안전조치의무를 위반했기 때문이라고 판단했다. 네오팜은 개인정보처리시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인이 가능하게 운영되고 있었다. 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등을 제한하지 않았다.
또한 네오팜이 개인정보취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리에 소홀하고, 유출된 이용자 대상으로 개인정보 유출 통지를 지연한 사실도 확인했다.
낚시 쇼핑몰 군계일학을 운영하는 ‘일학’은 2023년 12월 17일부터 이틀간 해커의 SQL 삽입 공격을 받아 개인정보가 유출됐다. SQL 삽입 공격은 웹사이트 취약점을 악용해 악의적인 프로그램 언어를 삽입 및 싱행해 데이터베이스를 비정상적으로 조작하는 공격을 말한다. 일학 개인정보를 유출한 해커는 군계일학 쇼핑몰 게시판에 1만명 개인정보를 게시하기도 했다.
▲사업자별 위반 및 시정조치 내역[자료=개인정보위]
개인정보위 조사 결과 일학은 쇼핑몰 웹 관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았다. 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실했던 것으로 확인됐다. 아울러, SQL 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치의무도 위반한 것으로 확인됐다.
개인정보위는 웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다고 당부했다. SQL 삽입 공격처럼 잘 알려진 웹 취약점 공격에 대해서는 적절한 보안조치 등 지속적인 주의가 필요하다고 밝혔다.
한편, 개인정보위는 네오팜과 일학의 사업자 홈페이지에 개인정보유출 사실을 공표하도록 명령했다. 네오팜은 페이지 내 홍보 게시판에 개인정보 유출 제재 사실을 알리는 언론사 기사로 연결되도록 게시글을 작성했다. 일학은 자유게시판을 통해 개인정보 유출을 묻는 회원에게 답글로 개인정보유출 사실을 알렸다. 홈페이지 접속 시 개인정보 유출 사실을 한눈에 확인할 수 있는 팝업이나 배너 형태로 고지되지 않아 그 실효성이 떨어진다는 지적도 나오고 있다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>