 |
블랙야크 홈페이지 캡처 |
등산용품 기업 ‘블랙야크’가 해킹을 당해 34만여명의 개인정보를 유출했다가 13억9100만원의 과징금을 물게 됐다.
개인정보보호위원회는 지난 9일 전체회의를 열어 개인정보 보호 법규를 위반한 블랙야크에 13억9100만원의 과징금을 부과하고 홈페이지에 공표하도록 명령했다고 10일 밝혔다.
앞서 지난 3월1일부터 4일까지 블랙야크 홈페이지는 해커로부터 에스큐엘(SQL) 삽입공격을 받아 아이디, 비밀번호 등 관리자 계정 정보를 탈취당했다. 이후 해커는 관리자 계정으로 로그인해 이용자 34만2253명의 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부 등 개인정보를 내려받았다.
에스큐엘 삽입공격이란 검색, 로그인, 게시판 등 웹사이트의 입력창에 ‘SQL 코드’를 입력해 특정 명령을 실행하게 만드는 것을 말한다. 공격자는 이 과정을 통해 로그인 우회, 데이터 탈취 등을 할 수 있다.
에스큐얼 삽입공격은 웹 해킹 분야에서 흔한 공격 수법이다. 방법이 단순하고 자동화 도구도 많다. 이에 업계에서는 홈페이지·애플리케이션 개발 때 에스큐엘 삽입공격 방어 대책을 포함하는 것이 ‘기본’으로 여겨진다.
개인정보위 조사에 따르면 블랙야크 측은 웹사이트를 개설한 2021년 10월부터 에스큐엘 삽입공격 취약점에 대한 점검과 조치를 소홀히 했고, 재택근무 등의 사유로 외부에서도 관리자 페이지 접속이 가능하도록 웹사이트를 운영했다. 그러면서도 아이디와 비밀번호 외 안전한 인증수단도 적용하지 않았다.
개인정보위는 이날 온라인 교육 컨텐츠 기업인 ‘한국토픽교육센터’에도 과징금 2300만원과 과태료 270만원을 부과하고 이를 공표하도록 명령했다.
한국토픽교육센터 웹사이트 역시 지난 3월 에스큐엘 삽입공격을 받은 바 있다. 해커는 이용자 8만4085명의 아이디, 암호화된 비밀번호, 이름, 생년월일, 성별, 연락처, 주소 등 개인정보를 탈취해 텔레그램에 공개했다.
개인정보위 조사 결과 한국토픽교육센터는 웹사이트 에스큐엘 삽입공격 방지를 위한 점검 등을 소홀히 했고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않았다. 또한 개인정보 유출 인지 뒤 정당한 사유 없이 72시간을 경과해 유출 사실을 통지했다.
개인정보위 측은 “디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어, 권한 있는 사용자인지를 판별하기 위해서는 아이디와 비밀번호 외 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌다”면서 “에스큐엘 삽입공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다”고 밝혔다.
송윤경 기자 kyung@kyunghyang.com
▶ 매일 라이브 경향티비, 재밌고 효과빠른 시사 소화제!
▶ 주 3일 10분 뉴스 완전 정복! 내 메일함에 점선면 구독
©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.