악의적 ‘SQL 공격’에 26만 명 개인정보 유출…무더기 과징금 처분

웹사이트를 허술하게 운영해 해커에게 회원 정보를 무더기로 유출한 우리 기업들이 수천만 원 대 과징금을 물게 됐습니다.

개인정보보호위원회는 오늘(21일), 온라인 교육 콘텐츠 서비스를 운영하는 주식회사 ‘이젠’과 건축 전문업체 ‘더존하우징’, 골프장 예약 플랫폼을 운영하는 ‘레저 플러스’ 등 3곳에 개인정보 보호법 위반 과태료를 부과했다고 밝혔습니다.

개인정보위 조사 결과, 이들은 모두 웹사이트의 취약점을 이용한 해커의 악의적인 SQL(데이터베이스 명령어) 실행 공격으로 개인정보 데이터가 유출된 것으로 확인됐습니다.

해커는 2021년 8월부터 2024년 8월까지 ‘이젠’ 회원 6만 9천여 명의 이름과 전화번호, 이메일 등 개인정보를 유출해 텔레그램에 게시했는데, 이 가운데 3만 5천여 명은 주민등록번호까지 고스란히 유출됐습니다.

3년간 공격이 이어졌는데도 ‘이젠’은 사이트 보안 점검 등에 소홀했고, 개인정보 유출 사실을 알고도 서둘러 신고하지 않은 점도 확인돼, 과징금 6,060만 원과 과태료 540만 원을 함께 물게 됐습니다.

건축 설계 상담·문의 홈페이지를 운영한 ‘더존하우징’도 지난 2023년 12월 같은 수법으로 회원 3만 3천여 명의 이름과 전화번호 등 개인정보가 텔레그램에 유출돼, 안전조치 의무 위반 과징금 5,580만 원이 부과됐습니다.

‘레저플러스’ 역시 지난해 9월과 10월 두 차례 SQL 삽입 공격을 받아 16만 명이 넘는 고객들의 이름과 휴대전화 번호, 비밀번호 등이 유출돼 과징금 6,120만 원을 물게 됐습니다.

개인정보위는 “SQL 삽입 공격은 매우 잘 알려진 공격 방식이지만, 데이터베이스를 직접 공격해 개인정보 대량 유출로 위험성이 높다”며 웹방화벽 설치 등 사업자들의 주의를 당부했습니다.

[사진 출처 : 연합뉴스 / 개인정보보호위원회 제공]

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

강푸른 기자 (strongblue@kbs.co.kr)