개인정보 보호를 위한 기술적·관리적 보호조치 미비
과징금 1억 2백만원, 과태료 1천 5백만원 및 시정명령 부과
[보안뉴스 민세아] 지난 9월 11일 홈페이지 해킹으로 195여만명의 회원정보가 유출된 온라인 커뮤니티 뽐뿌커뮤니케이션(이하 뽐뿌)에 대해 1억 2백만 원의 과징금, 1천5백만 원의 과태료 및 재발방지 대책을 수립·시행토록 하는 등의 시정명령이 부과된다.
방송통신위원회(위원장 최성준)는 11월 20일 전체회의를 개최해 △불법적인 접근을 차단·탐지하기 위한 접근통제 장치를 설치·운영하지 않은 행위 △접속기록의 위·변조방지를 위한 접속기록을 보관하지 않은 행위 △비밀번호 암호화 시 안전성 문제로 사용을 권고하지 않은 암호알고리즘(MD5)을 적용한 행위 등 개인정보보호를 위한 기술적·관리적 보호조치 의무를 위반한 뽐뿌에 대해 위와 같은 시정조치(안)을 의결했다.
그동안 방통위는 해킹사고 당일인 2015년 9월 11일부터 미래부와 공동으로 ‘민·관합동조사단’을 구성해 뽐뿌의 해킹경로 파악 및 개인정보 취급·운영 실태에 대한 현장조사를 진행해 왔다.
뽐뿌에 남아 있는 웹 서버 및 개인정보처리 시스템 접속기록 등을 분석한 결과, 미상의 해커는 뽐뿌 홈페이지 중 취약한 웹페이지를 대상으로 SQL(Structured Query Language) 인젝션 공격을 통해 195여만 건의 아이디, 암호화된 비밀번호, 생년월일, 이메일 등 8개 항목을 유출한 것으로 확인됐다.
SQL 인젝션 공격은 데이터베이스 질의어를 조작해 해커가 원하는 자료를 데이터베이스로부터 유출해가는 사이버 공격기법이다.
이번 개인정보 유출사고의 주요 원인은 정보통신망법 제28조제1항에 따른 기술적·관리적 보호조치 중 △개인정보처리시스템에 불법적인 접근을 차단·탐지하기 위한 침입차단 및 침입탐지 시스템 등 접근 통제장치를 설치·운영하지 않은 사실과 △취급중인 개인정보가 인터넷홈페이지 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취해야 하나, 이에 대한 보호조치 미비로 인한 것으로 확인됐다.
▲뽐뿌의 기술적·관리적 보호조치 위반사항(요약)
한편, 지난 6월 국민 생활 밀접분야인 알뜰폰 및 스마트폰앱 서비스 사업자에 대해 기획조사를 실시한 결과, 개인정보처리 시스템에 대한 기술적·관리적 보호조치를 위반한 8개 사업자에 대해 총 8천만 원의 과태료를 부과했다.
최성준 위원장은 이번 제재를 계기로 “개인정보보호시스템의 설치·운영 등 안전하고 체계적으로 개인정보관리를 해야 한다”고 강조하면서, “이제는 정보보호에 대한 투자가 선택이 아닌 필수조건임을 인식하는 전환점이 되길 기대한다”고 밝혔다.
* MD5(Message-Digest algorithm 5) : 1996년 및 2004년 심각한 암호화 결함이 발견돼 현재는 보안관련 용도로 사용을 권고하고 있지 않음
[민세아 기자(boan5@boannews.com)]
과징금 1억 2백만원, 과태료 1천 5백만원 및 시정명령 부과
[보안뉴스 민세아] 지난 9월 11일 홈페이지 해킹으로 195여만명의 회원정보가 유출된 온라인 커뮤니티 뽐뿌커뮤니케이션(이하 뽐뿌)에 대해 1억 2백만 원의 과징금, 1천5백만 원의 과태료 및 재발방지 대책을 수립·시행토록 하는 등의 시정명령이 부과된다.
방송통신위원회(위원장 최성준)는 11월 20일 전체회의를 개최해 △불법적인 접근을 차단·탐지하기 위한 접근통제 장치를 설치·운영하지 않은 행위 △접속기록의 위·변조방지를 위한 접속기록을 보관하지 않은 행위 △비밀번호 암호화 시 안전성 문제로 사용을 권고하지 않은 암호알고리즘(MD5)을 적용한 행위 등 개인정보보호를 위한 기술적·관리적 보호조치 의무를 위반한 뽐뿌에 대해 위와 같은 시정조치(안)을 의결했다.
그동안 방통위는 해킹사고 당일인 2015년 9월 11일부터 미래부와 공동으로 ‘민·관합동조사단’을 구성해 뽐뿌의 해킹경로 파악 및 개인정보 취급·운영 실태에 대한 현장조사를 진행해 왔다.
뽐뿌에 남아 있는 웹 서버 및 개인정보처리 시스템 접속기록 등을 분석한 결과, 미상의 해커는 뽐뿌 홈페이지 중 취약한 웹페이지를 대상으로 SQL(Structured Query Language) 인젝션 공격을 통해 195여만 건의 아이디, 암호화된 비밀번호, 생년월일, 이메일 등 8개 항목을 유출한 것으로 확인됐다.
SQL 인젝션 공격은 데이터베이스 질의어를 조작해 해커가 원하는 자료를 데이터베이스로부터 유출해가는 사이버 공격기법이다.
이번 개인정보 유출사고의 주요 원인은 정보통신망법 제28조제1항에 따른 기술적·관리적 보호조치 중 △개인정보처리시스템에 불법적인 접근을 차단·탐지하기 위한 침입차단 및 침입탐지 시스템 등 접근 통제장치를 설치·운영하지 않은 사실과 △취급중인 개인정보가 인터넷홈페이지 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취해야 하나, 이에 대한 보호조치 미비로 인한 것으로 확인됐다.
▲뽐뿌의 기술적·관리적 보호조치 위반사항(요약)
한편, 지난 6월 국민 생활 밀접분야인 알뜰폰 및 스마트폰앱 서비스 사업자에 대해 기획조사를 실시한 결과, 개인정보처리 시스템에 대한 기술적·관리적 보호조치를 위반한 8개 사업자에 대해 총 8천만 원의 과태료를 부과했다.
최성준 위원장은 이번 제재를 계기로 “개인정보보호시스템의 설치·운영 등 안전하고 체계적으로 개인정보관리를 해야 한다”고 강조하면서, “이제는 정보보호에 대한 투자가 선택이 아닌 필수조건임을 인식하는 전환점이 되길 기대한다”고 밝혔다.
* MD5(Message-Digest algorithm 5) : 1996년 및 2004년 심각한 암호화 결함이 발견돼 현재는 보안관련 용도로 사용을 권고하고 있지 않음
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
