[보안뉴스 한세희 기자] 허술한 홈페이지 보안 관리로 회원 2만1234명의 개인정보가 유출된 한국인정지원센터가 과징금을 맞았다.
개인정보보호위원회는 개인정보 보호 법규를 위반한 한국인정지원센터와 텔루스인터내셔널AI에 총 1억3720만원의 과징금과 1320만원의 과태료를 부과하기로 의결했다고 26일 밝혔다.
▲고학수 개인정보보호위원회 위원장이 25일 서울 종로구 정부서울청사에서 열린 제14회 전체회의를 주재하고 있다.[자료: 연합]
한국인정지원센터는 2023년 1월 홈페이지 회원 개인정보가 깃허브와 텔레그램에 공개된 사실을 확인하고 개인정보위에 유출 신고를 했다. 악의적 데이터베이스 명령문을 삽입해 데이터베이스를 비정상적으로 조작하는 데이터베이스 명령어(SQL) 삽입 공격에 당해 이름과 아이디, 비밀번호, 휴대폰 번호, 주소, 생년월일, 주민등록번호 등이 유출됐다.
조사 결과, 한국인정지원센터는 홈페이지 게시판 등에 이용자가 입력하는 정보에 대한 검증 절차가 없어 SQL 삽입 공격을 막지 못한 것으로 나타나다. 관리자가 홈페이지에 접속할 때 일회용 비밀번호와 같은 안전한 인증수단을 적용하지 않았다.
또 2001=2014년 수집한 회원 주민등록번호를 파기하지 않고 계속 보관하다 이번에 같이 유출되었다. 한국인정지원센터처럼 법령상 근거가 없는 경우엔 주민등록번호를 수집·이용할 수 없고, 2014년 주민등록번호 법정주의가 시행되면서 이미 수집한 주민등록번호를 2016년까지 파기했어야 했다.
개인정보위는 한국인정지원센터에 과징금 5520만 원과 과태료 600만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.
텔루스인터내셔널AI는 캐나다 통신사 텔루스의 자회사로, 인공지능(AI) 학습데이터를 생성, 평가할 수 있는 지원자를 모집해 기업 고객 프로젝트를 지원하는 플랫폼을 운영한다.
이 회사가 지원자를 모집·관리하는 플랫폼이 2023년 해킹당해 한국에선 1만3622명, 세계에선 약 68만 명의 개인정보가 유출됐다.
조사 결과, 플랫폼 보안 취약점 점검 소홀로 관리자 권한 확인 절차가 누락돼 해커가 일반 이용자로 로그인한 후 전체 이용자의 데이터에 접근할 수 있었다. 또 2023년 11월 2일 개인정보 유출을 인지했지만 정당한 사유 없이 72시간이 지난 14일에 신고하고 이용자 개별 통지도 늦게 한 사실도 확인됐다.
이에 따라 개인정보위는 과징금 8200만원과 과태료 720만 원을 부과하기로 했다.
[한세희 기자(boan@boannews.com)]
개인정보보호위원회는 개인정보 보호 법규를 위반한 한국인정지원센터와 텔루스인터내셔널AI에 총 1억3720만원의 과징금과 1320만원의 과태료를 부과하기로 의결했다고 26일 밝혔다.
▲고학수 개인정보보호위원회 위원장이 25일 서울 종로구 정부서울청사에서 열린 제14회 전체회의를 주재하고 있다.[자료: 연합]
한국인정지원센터는 2023년 1월 홈페이지 회원 개인정보가 깃허브와 텔레그램에 공개된 사실을 확인하고 개인정보위에 유출 신고를 했다. 악의적 데이터베이스 명령문을 삽입해 데이터베이스를 비정상적으로 조작하는 데이터베이스 명령어(SQL) 삽입 공격에 당해 이름과 아이디, 비밀번호, 휴대폰 번호, 주소, 생년월일, 주민등록번호 등이 유출됐다.
조사 결과, 한국인정지원센터는 홈페이지 게시판 등에 이용자가 입력하는 정보에 대한 검증 절차가 없어 SQL 삽입 공격을 막지 못한 것으로 나타나다. 관리자가 홈페이지에 접속할 때 일회용 비밀번호와 같은 안전한 인증수단을 적용하지 않았다.
또 2001=2014년 수집한 회원 주민등록번호를 파기하지 않고 계속 보관하다 이번에 같이 유출되었다. 한국인정지원센터처럼 법령상 근거가 없는 경우엔 주민등록번호를 수집·이용할 수 없고, 2014년 주민등록번호 법정주의가 시행되면서 이미 수집한 주민등록번호를 2016년까지 파기했어야 했다.
개인정보위는 한국인정지원센터에 과징금 5520만 원과 과태료 600만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.
텔루스인터내셔널AI는 캐나다 통신사 텔루스의 자회사로, 인공지능(AI) 학습데이터를 생성, 평가할 수 있는 지원자를 모집해 기업 고객 프로젝트를 지원하는 플랫폼을 운영한다.
이 회사가 지원자를 모집·관리하는 플랫폼이 2023년 해킹당해 한국에선 1만3622명, 세계에선 약 68만 명의 개인정보가 유출됐다.
조사 결과, 플랫폼 보안 취약점 점검 소홀로 관리자 권한 확인 절차가 누락돼 해커가 일반 이용자로 로그인한 후 전체 이용자의 데이터에 접근할 수 있었다. 또 2023년 11월 2일 개인정보 유출을 인지했지만 정당한 사유 없이 72시간이 지난 14일에 신고하고 이용자 개별 통지도 늦게 한 사실도 확인됐다.
이에 따라 개인정보위는 과징금 8200만원과 과태료 720만 원을 부과하기로 했다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
 th.jpg)
.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
