개인정보보호위원회는 9일 전체회의를 열고, 개인정보 보호 법규를 위반한 비와이엔블랙야크와 한국토픽교육센터에 총 14억1400만원의 과징금과 270만원의 과태료를 부과했다고 10일 밝혔다.
두 기업은 모두 홈페이지 취약점 점검을 소홀히 하다 SQL 삽입 공격을 당해 개인정보가 유출됐다. SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적 데이터베이스 명령문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.
비와이엔블랙야크는 3월 초 웹사이트에 SQL 삽입 공격을 당해 이용자 34만2253명의 개인정보가 유출됐다.

[자료: 개인정보위원회]
개인정보위 조사 결과, 이 회사는 웹사이트를 개설한 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검 조치를 소홀히 했다. 또 재택근무 등의 사유로 외부에서 관리자 페이지에 접속 가능하도록 운영하면서 아이디와 비밀번호 외 안전한 인증수단을 적용하지 않았다.
개인정보위는 비와이엔블랙야크에 과징금 13억9100만원과 처분받은 사실을 홈페이지에 공표할 것을 명령했다.
한국토픽교육센터 역시 웹사이트에 SQL 삽입 공격 방지를 위한 취약점 점검을 소홀히 했다. 또 개인정보처리시스템에 대한 개인정보취급자 접속 기록을 보관하지 않았고, 개인정보 유출 후 72시간이 지나 신고한 사실도 확인됐다.
이로 인해 이용자 8만4085명의 이름과 생년월일, 아이디, 암호화된 비밀번호, 연락처, 주소 등이 유출됐다. 과징금 2300만원과 과태료 270만원을 부과받았다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>