개인정보위, 개인정보 유출된 16개 사업자 과징금 등 제재
안전조치 소홀에 따른 해킹, 업무상 실수 등으로 개인정보 유출
[보안뉴스 원병철 기자] 최근 디지털 전환 등의 이유로 클라우드 서비스 이용이 늘어나고 있는 상황에서 안전한 인증수단을 쓰지 않아 해커에게 관리자 권한을 탈취당한 기업들이 고객정보를 유출해 큰 충격을 주고 있다.
[이미지=utoimage]
개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 3월 23일(수) 제5회 전체회의를 개최하고, 개인정보가 유출된 16개 사업자의 개인정보보호 법규 위반에 대해 총 2,370만 원의 과징금과 9,200만 원의 과태료 부과 처분을 의결했다.
이번 조사는 모두 사업자들이 한국인터넷진흥원(KISA, 원장 이원태)에 유출 사실을 신고함에 따라 진행되었다. 조사 결과 유출 원인으로는 해킹이 12건이었으며, 업무상 과실이 4건이었다. 먼저 캔바 등 4개 사업자는 아마존 클라우드서비스(AWS)를 이용하면서 안전한 인증수단을 적용하지 않아 해커에게 관리자 접근권한(액세스 키·Access Key)을 탈취당했고, 그 결과 캔바 236,775건, 징가는 13,057건, 플루크는 2,230건, 하우빌드 3,771건의 이름과 연락처 등 개인정보가 각각 유출됐다.
5개 사업자의 유출사고에 대한 해킹 방법은 SQL인젝션, 웹셀 공격, 무작위 대입 공격으로 규명되었다. 여기서 SQL 인젝션(Structured Query Language Injection)은 데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 유출하는 공격 기법이며, 웹셀(Web Shell)은 시스템에 명령을 내릴 수 있는 코드를 말한다. 특히 웹셀은 웹서버 취약점을 통해 서버 스크립트가 업로드되면 해커들은 보안 시스템을 피해 별도 인증 없이 시스템에 접속 가능해 원격으로 해당 웹서버를 조종할 수 있다. 이로 인해 한국화재연구소 427건, 넬슨스포츠 2,696건, 아시아나항공 198건, SK하이닉스 2,207건, 성보공업 276건의 개인정보가 유출되었다.
강원도의사회 등 4개 사업자의 경우 업무상 실수로 개인정보가 외부에 공개되거나 내부 직원들에게 개인정보가 잘못 전달되었다. 강원도의사회는 누리집 유지보수 업체가 실수로 다른 누리집(경상남도의사회)에 강원도의사회 선거인명부(3,320명)를 게시하였고, 한국투자신탁운용은 웹페이지 개발 실수로 접근 통제가 이루어지지 않아 온라인 토론회(세미나) 참가 신청자명단(2,932명)이 인터넷에서 검색되었으며, 스태츠칩팩코리아와 제이셋스태츠칩팩코리아는 담당 직원이 교육 안내 메일을 보내면서 실수로 인사정보 파일을 잘못 첨부했다.
탈취당한 개인정보 중 일부는 다크웹 등에 게시되거나, 광고성 스팸 메일 등에 이용되었고, 주민등록번호가 유출되거나 잘못 처리한 사례도 확인되었으며, 일부 사업자들은 유출통지도 하지 않았다. 성보공업과 잇올의 유출된 개인정보는 텔레그램에, 한국화재연구소, 휘닉스중앙, 하우빌드의 유출 정보는 다크웹에 게시되었고, 넬슨스포츠는 해커가 관리자의 메일발송 권한을 이용해 회원들에게 광고성 메일을 보냈으며, 디지틀조선일보에서는 유학상담을 접수한 일부 학부모들에게 보이스피싱 메일이 보내졌다. 성보공업에서는 주민등록번호가 포함된 입사 지원서(83건)가 유출되었고, 하우빌드는 권한 없이 주민등록번호를 처리했으며, 스태츠칩팩코리아는 주민등록번호를 안전하게 암호화하여 관리하지 않았다. 또한, 캔바, 징가, 플루크, 성보공업, 휘닉스중앙 등 5개 사업자는 개인정보가 유출된 사실을 알고도 즉시 피해자들에게 통지하지 않은 사실이 적발되었다.
▲사업자별 위반 사항 및 처분 세부 내용[자료=개인정보위]
개인정보위는 안전조치를 소홀히 하거나 유출통지를 하지 않는 등 법규를 위반한 16개 사업자 모두에게 과태료를 부과하고, 이에 더하여 안전조치를 소홀히 해 개인정보가 유출된 정보통신서비스 사업자 징가와 하우빌드, 그리고 암호화하지 않은 주민등록번호가 유출된 성보공업에는 과징금도 부과했다. 개인정보위는 공용클라우드를 통한 해킹 사고가 빈번하게 발생하는 점에 대하여 아마존 등 공용클라우드 서비스 제공자와 함께 개인정보 보호를 위한 공동 교육 및 홍보를 추진해 나갈 계획이다.
양청삼 개인정보위 조사조정국장은 유출 사고 즉시 통지하지 않은 사례에 대해 “개인정보가 유출되지 않도록 사전에 안전조치를 잘 하는 것도 중요하지만 사고 이후에 피해가 확산되지 않도록 피해자들에게 알리는 것도 중요하다”고 강조하면서, “유출이 발생한 경우 피해자들이 더 큰 피해를 당하지 않도록 즉시 유출 통지를 해달라”고 사업자들에게 당부했다.
[원병철 기자(boanone@boannews.com)]
안전조치 소홀에 따른 해킹, 업무상 실수 등으로 개인정보 유출
[보안뉴스 원병철 기자] 최근 디지털 전환 등의 이유로 클라우드 서비스 이용이 늘어나고 있는 상황에서 안전한 인증수단을 쓰지 않아 해커에게 관리자 권한을 탈취당한 기업들이 고객정보를 유출해 큰 충격을 주고 있다.
[이미지=utoimage]
개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 3월 23일(수) 제5회 전체회의를 개최하고, 개인정보가 유출된 16개 사업자의 개인정보보호 법규 위반에 대해 총 2,370만 원의 과징금과 9,200만 원의 과태료 부과 처분을 의결했다.
이번 조사는 모두 사업자들이 한국인터넷진흥원(KISA, 원장 이원태)에 유출 사실을 신고함에 따라 진행되었다. 조사 결과 유출 원인으로는 해킹이 12건이었으며, 업무상 과실이 4건이었다. 먼저 캔바 등 4개 사업자는 아마존 클라우드서비스(AWS)를 이용하면서 안전한 인증수단을 적용하지 않아 해커에게 관리자 접근권한(액세스 키·Access Key)을 탈취당했고, 그 결과 캔바 236,775건, 징가는 13,057건, 플루크는 2,230건, 하우빌드 3,771건의 이름과 연락처 등 개인정보가 각각 유출됐다.
5개 사업자의 유출사고에 대한 해킹 방법은 SQL인젝션, 웹셀 공격, 무작위 대입 공격으로 규명되었다. 여기서 SQL 인젝션(Structured Query Language Injection)은 데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 유출하는 공격 기법이며, 웹셀(Web Shell)은 시스템에 명령을 내릴 수 있는 코드를 말한다. 특히 웹셀은 웹서버 취약점을 통해 서버 스크립트가 업로드되면 해커들은 보안 시스템을 피해 별도 인증 없이 시스템에 접속 가능해 원격으로 해당 웹서버를 조종할 수 있다. 이로 인해 한국화재연구소 427건, 넬슨스포츠 2,696건, 아시아나항공 198건, SK하이닉스 2,207건, 성보공업 276건의 개인정보가 유출되었다.
강원도의사회 등 4개 사업자의 경우 업무상 실수로 개인정보가 외부에 공개되거나 내부 직원들에게 개인정보가 잘못 전달되었다. 강원도의사회는 누리집 유지보수 업체가 실수로 다른 누리집(경상남도의사회)에 강원도의사회 선거인명부(3,320명)를 게시하였고, 한국투자신탁운용은 웹페이지 개발 실수로 접근 통제가 이루어지지 않아 온라인 토론회(세미나) 참가 신청자명단(2,932명)이 인터넷에서 검색되었으며, 스태츠칩팩코리아와 제이셋스태츠칩팩코리아는 담당 직원이 교육 안내 메일을 보내면서 실수로 인사정보 파일을 잘못 첨부했다.
탈취당한 개인정보 중 일부는 다크웹 등에 게시되거나, 광고성 스팸 메일 등에 이용되었고, 주민등록번호가 유출되거나 잘못 처리한 사례도 확인되었으며, 일부 사업자들은 유출통지도 하지 않았다. 성보공업과 잇올의 유출된 개인정보는 텔레그램에, 한국화재연구소, 휘닉스중앙, 하우빌드의 유출 정보는 다크웹에 게시되었고, 넬슨스포츠는 해커가 관리자의 메일발송 권한을 이용해 회원들에게 광고성 메일을 보냈으며, 디지틀조선일보에서는 유학상담을 접수한 일부 학부모들에게 보이스피싱 메일이 보내졌다. 성보공업에서는 주민등록번호가 포함된 입사 지원서(83건)가 유출되었고, 하우빌드는 권한 없이 주민등록번호를 처리했으며, 스태츠칩팩코리아는 주민등록번호를 안전하게 암호화하여 관리하지 않았다. 또한, 캔바, 징가, 플루크, 성보공업, 휘닉스중앙 등 5개 사업자는 개인정보가 유출된 사실을 알고도 즉시 피해자들에게 통지하지 않은 사실이 적발되었다.
▲사업자별 위반 사항 및 처분 세부 내용[자료=개인정보위]
개인정보위는 안전조치를 소홀히 하거나 유출통지를 하지 않는 등 법규를 위반한 16개 사업자 모두에게 과태료를 부과하고, 이에 더하여 안전조치를 소홀히 해 개인정보가 유출된 정보통신서비스 사업자 징가와 하우빌드, 그리고 암호화하지 않은 주민등록번호가 유출된 성보공업에는 과징금도 부과했다. 개인정보위는 공용클라우드를 통한 해킹 사고가 빈번하게 발생하는 점에 대하여 아마존 등 공용클라우드 서비스 제공자와 함께 개인정보 보호를 위한 공동 교육 및 홍보를 추진해 나갈 계획이다.
양청삼 개인정보위 조사조정국장은 유출 사고 즉시 통지하지 않은 사례에 대해 “개인정보가 유출되지 않도록 사전에 안전조치를 잘 하는 것도 중요하지만 사고 이후에 피해가 확산되지 않도록 피해자들에게 알리는 것도 중요하다”고 강조하면서, “유출이 발생한 경우 피해자들이 더 큰 피해를 당하지 않도록 즉시 유출 통지를 해달라”고 사업자들에게 당부했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
