코다스디자인·스피드옥션, 웹사이트 회원 정보 유출…과징금 2억2천만원

개인정보위, 제재안 의결

(지디넷코리아=김윤희 기자)개인정보보호위원회는 지난 13일 전체회의를 열고, 개인정보 보호 법규를 위반한 2개 사업자인 코다스디자인, 스피드옥션에 과징금 총 2억2천343만원과 과태료 1천440만원을 부과하기로 의결했다.

코다스디자인은 가구 제작·판매 관련 웹사이트 운영 기업, 스피드옥션은 부동산 경매정보 제공 웹사이트 운영 기업이다.

개인정보위 조사 결과, 코다스디자인은 해커의 SQL 인젝션 공격으로 이용자 3만8천209명의 개인정보가 유출됐다. 해킹 공격을 당한 웹 사이트의 입력값 검증 등 보안 취약점에 대한 점검·조치 등을 제대로 지키지 않았다.

고학수 개인정보보호위원회 위원장

스피드옥션의 경우 해커가 웹사이트 보안 취약점을 이용해 악성코드를 업로드하고 데이터베이스(DB)에 접근해 이용자의 개인정보를 유출했다. 웹사이트에 대한 공격을 예방하는 기본 조치인 파일 업로드 확장자 및 실행 권한 제한 등 보안 취약점 조치, DB 접근 권한을 IP 주소로 제한하는 등 안전조치 의무를 준수하지 않았다.

2개 사업자는 모두 웹 보안 취약점으로 인한 해킹 공격으로 개인정보가 유출된 경우다. 

개인정보위는 웹사이트 운영 사업자는 주기적으로 웹 보안 취약점을 점검하고 조치해야 하며, 특히, 이번 공격 사례들은 잘 알려진 웹 취약점 공격인 반면 파괴력은 매우 커 DB 보안 등에 각별한 주의·예방이 필요하다고 강조했다.

김윤희 기자(kyh@zdnet.co.kr)