호텔스컴바인, 한국 이용자 1,246명 개인정보 유출...9,450만 원 과징금 처분
머니투데이방송, SQL 인젝션 공격 받아 개인정보 133,633건(중복포함) 유출...6,778만 원 과징금
[보안뉴스 김경애 기자] 호텔스컴바인과 머니투데이방송이 개인정보보호 법규를 위반해 과징금 및 과태료 처분을 받았다. 호텔스컴바인은 접근통제 조치 소홀로 인한 개인정보 보호조치 위반과 개인정보 유출 등의 통지·신고 위반으로 과징금 9,450만원, 과태료 1,600만원을 부과 받았고, 머니투데이방송은 개인정보 파기 위반, 안전조치의무 위반, 개인정보 유출통지·신고 특례 위반으로 과징금 6,778만원, 과태료 1,140만원을 부과받았다.
▲호텔스컴바인의 개인정보 유출 과정[자료=개인정보보호위원회]
이와 관련 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 26일 제11회 전체회의를 열고, 개인정보보호 법규를 위반한 HotelsCombined Pty Ltd.(이하 호텔스컴바인) 및 머니투데이방송에 대해 과징금 및 과태료를 부과하기로 의결했다.
▲호텔스컴바인과 머니투데이방송의 개인정보보호 법규 위반 사항[자료=개인정보보호위원회]
△호텔스컴바인
호텔스컴바인의 경우 2013년 호텔 예약플랫폼 개발 당시 ‘예약정보’만 조회 가능한 접근권한만으로 ‘예약정보+카드정보’까지 조회 가능한 계정을 별도의 확인·승인 절차 없이 추가로 생성할 수 있도록 시스템을 잘못 설계한 것으로 드러났다. 이에 해커가 피싱 수법으로 아이디·비밀번호를 탈취해 호텔스컴바인 시스템에 접속했고, 카드정보까지 접근할 수 있는 계정을 생성했다. 그 결과 한국 이용자 1,246명의 이름, 이메일 주소, 호텔 예약정보, 카드정보가 조회·유출됐다. 아울러 해당 사업자는 유출 통지 및 신고를 뒤늦게 한 사실도 확인됐다.
이에 개인정보위는 9,450만 원의 과징금과 1,600만 원의 과태료를 부과하고, 처분 결과를 위원회 홈페이지에 공표하기로 했다.
▲호텔스컴바인과 머니투데이방송의 처분 내용[자료=개인정보보호위원회]
△머니투데이방송
머니투데이방송의 경우 운영 중이던 광고 공모전 사이트가 해커의 에스큐엘 주입(SQL 인젝션) 공격을 받아 관리자 계정 및 회원 개인정보(133,633건, 중복 포함)가 유출(2022년 9월)됐다. SQL 인젝션 공격은 웹사이트 취약점을 이용해 악의적인 에스큐엘(Structured Query Language, 데이터베이스 조회 등을 위해 사용하는 프로그램 언어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 방식이다.
해당 사업자는 SQL 인젝션 공격 방지를 위한 입력값 검증 등의 조치를 일부 누락하고, 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않은 것으로 밝혀졌다. 아울러 탈퇴한 회원의 정보를 파기하지 않고 보관한 사실과 개인정보 유출 통지를 지연한 사실도 확인됐다.
이에 개인정보위는 6,778만 원의 과징금과 1,140만 원의 과태료를 부과하고, 처분 결과를 위원회 홈페이지에 공표하기로 했다.
[김경애 기자(boan3@boannews.com)]
머니투데이방송, SQL 인젝션 공격 받아 개인정보 133,633건(중복포함) 유출...6,778만 원 과징금
[보안뉴스 김경애 기자] 호텔스컴바인과 머니투데이방송이 개인정보보호 법규를 위반해 과징금 및 과태료 처분을 받았다. 호텔스컴바인은 접근통제 조치 소홀로 인한 개인정보 보호조치 위반과 개인정보 유출 등의 통지·신고 위반으로 과징금 9,450만원, 과태료 1,600만원을 부과 받았고, 머니투데이방송은 개인정보 파기 위반, 안전조치의무 위반, 개인정보 유출통지·신고 특례 위반으로 과징금 6,778만원, 과태료 1,140만원을 부과받았다.
▲호텔스컴바인의 개인정보 유출 과정[자료=개인정보보호위원회]
이와 관련 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 26일 제11회 전체회의를 열고, 개인정보보호 법규를 위반한 HotelsCombined Pty Ltd.(이하 호텔스컴바인) 및 머니투데이방송에 대해 과징금 및 과태료를 부과하기로 의결했다.
▲호텔스컴바인과 머니투데이방송의 개인정보보호 법규 위반 사항[자료=개인정보보호위원회]
△호텔스컴바인
호텔스컴바인의 경우 2013년 호텔 예약플랫폼 개발 당시 ‘예약정보’만 조회 가능한 접근권한만으로 ‘예약정보+카드정보’까지 조회 가능한 계정을 별도의 확인·승인 절차 없이 추가로 생성할 수 있도록 시스템을 잘못 설계한 것으로 드러났다. 이에 해커가 피싱 수법으로 아이디·비밀번호를 탈취해 호텔스컴바인 시스템에 접속했고, 카드정보까지 접근할 수 있는 계정을 생성했다. 그 결과 한국 이용자 1,246명의 이름, 이메일 주소, 호텔 예약정보, 카드정보가 조회·유출됐다. 아울러 해당 사업자는 유출 통지 및 신고를 뒤늦게 한 사실도 확인됐다.
이에 개인정보위는 9,450만 원의 과징금과 1,600만 원의 과태료를 부과하고, 처분 결과를 위원회 홈페이지에 공표하기로 했다.
▲호텔스컴바인과 머니투데이방송의 처분 내용[자료=개인정보보호위원회]
△머니투데이방송
머니투데이방송의 경우 운영 중이던 광고 공모전 사이트가 해커의 에스큐엘 주입(SQL 인젝션) 공격을 받아 관리자 계정 및 회원 개인정보(133,633건, 중복 포함)가 유출(2022년 9월)됐다. SQL 인젝션 공격은 웹사이트 취약점을 이용해 악의적인 에스큐엘(Structured Query Language, 데이터베이스 조회 등을 위해 사용하는 프로그램 언어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 방식이다.
해당 사업자는 SQL 인젝션 공격 방지를 위한 입력값 검증 등의 조치를 일부 누락하고, 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않은 것으로 밝혀졌다. 아울러 탈퇴한 회원의 정보를 파기하지 않고 보관한 사실과 개인정보 유출 통지를 지연한 사실도 확인됐다.
이에 개인정보위는 6,778만 원의 과징금과 1,140만 원의 과태료를 부과하고, 처분 결과를 위원회 홈페이지에 공표하기로 했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
