개인정보 유출 방지를 위한 기본적 안전조치 의무 준수 및 민감정보 처리 등에 각별한 주의 당부
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)가 재테크·부동산 관련 온라인 동영상 서비스업 운영 사업자 ‘월급쟁이부자들’과 중고 렌터카 매매 중개플랫폼 운영 사업자 ‘박차컴퍼니’에 총 6,069만 원의 과징금과 1,080만 원의 과태료를 부과했다.
[로고=월급쟁이부자들, 박차컴퍼니]
개인정보위가 11월 4일 제18회 전체회의를 열고, 월급쟁이부자들에 과징금 5,110만원과 과태료 270만원, 박차컴퍼니에 과징금 959만원과 과태료 810만원을 부과하기로 의결하고, 결과 공표를 명령했다. 개인정보 유출 신고에 따라 조사가 이루어진 이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다.
월급쟁이부자들은 운영 중인 재테크 관련 동영상 서비스 사이트에 해킹 공격을 당해 데이터베이스(DB) 내 10만 7,518명 개인정보가 유출됐다. 조사결과, 월급쟁이부자들은 중간서버를 통해서만 데이터베이스에 접속할 수 있게 시스템을 운영했다. 이때 방화벽 등이 없어 중간서버에 접속할 수 있는 아이피(IP)주소를 제한하지 않았다. 또, 외부에서 데이터베이스에 접속할 때 추가적인 인증수단 없이 아이디·비밀번호로 접속할 수 있었는데, 이때 데이터베이스 관리자 계정의 비밀번호조차 설정하지 않은 사실도 확인되었다.
박차컴퍼니는 해커의 에스큐엘(SQL) 삽입 공격을 받아 회원 4,004명의 개인정보가 유출됐으며, 유출된 정보에는 회원의 장애등급 등 민감정보도 포함된 것으로 확인됐다. SQL은 데이터베이스 조회 등을 위해 사용하는 프로그램 언어를 말한다. 에스큐엘 공격은 웹사이트 취약점을 이용해 악의적인 에스큐엘문을 실행해 데이터베이스를 비정상적으로 조작하는 공격 기법을 말한다.
조사결과, 박차컴퍼니는 중고 렌터카 매매 중개플랫폼을 운영하면서, 외부로부터 불법적인 접근을 방지하기 위한 방화벽 등의 보안장비를 설치·운영하지 않았다. SQL 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않아 개인정보가 유출됐다.
아울러, 박차컴퍼니는 보유 기간이 지난 개인정보를 파기하지 않았으며, 개인 소유의 계좌번호를 암호화하지 않고 저장한 것으로 밝혀졌다. 또, 개인정보 유출 통지를 지연한 사실도 확인됐다.
개인정보를 처리하는 사업자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검해야 한다. 불필요한 개인정보는 즉시 파기하고, 특히 민감정보 등은 처리 과정에서 각별한 주의가 필요하다고 개인정보위는 당부했다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)가 재테크·부동산 관련 온라인 동영상 서비스업 운영 사업자 ‘월급쟁이부자들’과 중고 렌터카 매매 중개플랫폼 운영 사업자 ‘박차컴퍼니’에 총 6,069만 원의 과징금과 1,080만 원의 과태료를 부과했다.
[로고=월급쟁이부자들, 박차컴퍼니]
개인정보위가 11월 4일 제18회 전체회의를 열고, 월급쟁이부자들에 과징금 5,110만원과 과태료 270만원, 박차컴퍼니에 과징금 959만원과 과태료 810만원을 부과하기로 의결하고, 결과 공표를 명령했다. 개인정보 유출 신고에 따라 조사가 이루어진 이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다.
월급쟁이부자들은 운영 중인 재테크 관련 동영상 서비스 사이트에 해킹 공격을 당해 데이터베이스(DB) 내 10만 7,518명 개인정보가 유출됐다. 조사결과, 월급쟁이부자들은 중간서버를 통해서만 데이터베이스에 접속할 수 있게 시스템을 운영했다. 이때 방화벽 등이 없어 중간서버에 접속할 수 있는 아이피(IP)주소를 제한하지 않았다. 또, 외부에서 데이터베이스에 접속할 때 추가적인 인증수단 없이 아이디·비밀번호로 접속할 수 있었는데, 이때 데이터베이스 관리자 계정의 비밀번호조차 설정하지 않은 사실도 확인되었다.
박차컴퍼니는 해커의 에스큐엘(SQL) 삽입 공격을 받아 회원 4,004명의 개인정보가 유출됐으며, 유출된 정보에는 회원의 장애등급 등 민감정보도 포함된 것으로 확인됐다. SQL은 데이터베이스 조회 등을 위해 사용하는 프로그램 언어를 말한다. 에스큐엘 공격은 웹사이트 취약점을 이용해 악의적인 에스큐엘문을 실행해 데이터베이스를 비정상적으로 조작하는 공격 기법을 말한다.
조사결과, 박차컴퍼니는 중고 렌터카 매매 중개플랫폼을 운영하면서, 외부로부터 불법적인 접근을 방지하기 위한 방화벽 등의 보안장비를 설치·운영하지 않았다. SQL 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않아 개인정보가 유출됐다.
아울러, 박차컴퍼니는 보유 기간이 지난 개인정보를 파기하지 않았으며, 개인 소유의 계좌번호를 암호화하지 않고 저장한 것으로 밝혀졌다. 또, 개인정보 유출 통지를 지연한 사실도 확인됐다.
개인정보를 처리하는 사업자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검해야 한다. 불필요한 개인정보는 즉시 파기하고, 특히 민감정보 등은 처리 과정에서 각별한 주의가 필요하다고 개인정보위는 당부했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
