[보안뉴스 한세희 기자] 지난해 해킹 공격으로 이용자 300만 명 이상의 개인정보가 유출된 여행사 모두투어가 7억원이 넘는 과징금을 물었다.
개인정보보호위원회(위원장 고학수)는 13일 제6회 전체회의를 열고 모두투어네트워크에 대해 7억4720만원의 과징금 및 1020억원의 과태료를 부과하기로 의결했다.
모두투어는 개인정보보호법에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실이 인정되었다.
▲모두투어 개인정보 유출 사고 개요 [자료: 개인정보보호위원회]
모두투어는 2024년 6월 웹페이지의 파일 업로드 취약점을 이용하여 악성 코드를 삽입하는 웹셀 공격을 당했다. 이로 인해 고객정보 데이터베이스에 저장된 회원 및 비회원 306만여 명의 이름과 생년월일, 성별, 휴대전화 번호 등 개인정보가 유출되었다.
개인정보위 조사 결과, 모두투어는 웹셸 공격 예방을 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 했다. 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했다.
또 2013년부터 수집한 비회원 316만여 건(중복 포함)의 개인정보를 보유 기간 경과 후에도 파기하지 않고 보유해 유출 규모를 키웠다. 2024년 7월 개인정보 유출 사실을 인지했지만 2개월 지난 9월에야 개인정보 유출 사실을 통지한 문제도 지적됐다.
[한세희 기자(boan@boannews.com)]
개인정보보호위원회(위원장 고학수)는 13일 제6회 전체회의를 열고 모두투어네트워크에 대해 7억4720만원의 과징금 및 1020억원의 과태료를 부과하기로 의결했다.
모두투어는 개인정보보호법에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실이 인정되었다.
▲모두투어 개인정보 유출 사고 개요 [자료: 개인정보보호위원회]
모두투어는 2024년 6월 웹페이지의 파일 업로드 취약점을 이용하여 악성 코드를 삽입하는 웹셀 공격을 당했다. 이로 인해 고객정보 데이터베이스에 저장된 회원 및 비회원 306만여 명의 이름과 생년월일, 성별, 휴대전화 번호 등 개인정보가 유출되었다.
개인정보위 조사 결과, 모두투어는 웹셸 공격 예방을 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 했다. 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했다.
또 2013년부터 수집한 비회원 316만여 건(중복 포함)의 개인정보를 보유 기간 경과 후에도 파기하지 않고 보유해 유출 규모를 키웠다. 2024년 7월 개인정보 유출 사실을 인지했지만 2개월 지난 9월에야 개인정보 유출 사실을 통지한 문제도 지적됐다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
