밀리의 서재, 반복되는 고객 개인정보 유출…과징금·과태료 폭탄

송혜리 기자 2023. 4. 12. 17:21
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

지난해 해킹 공격을 받아 고객 개인정보 1만3000여 건이 유출됐던 밀리의 서재가 개인정보보호위원회로부터 과징금 6억8496만원 및 과태료 2040만원 처분을 받았다.

개인정보위는 밀리의 서재가 홈페이지 서비스 개발을 위해 데이터베이스(DB)와 연동된 테스트 서버를 운영하면서, 테스트 서버의 웹 방화벽 설정이나, IP주소 제약 등 접근 통제 조치를 하지 않아 SQL인젝션 공격을 정상적으로 탐지, 차단하지 못했다고 봤다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

기사내용 요약
개인정보위, 전체회의서 밀리의 서재 포함 6개 사업자에 과징금 8억
해킹공격으로 고객 개인정보 유출·웹서비스 접근통제 소홀로 고객 신분증 노출

[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원장이 12일 오전 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 제6회 전체회의에 참석해 발언하고 있다. 2023.04.12. kmx1105@newsis.com

[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원장이 12일 오전 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 제6회 전체회의에 참석해 발언하고 있다. 2023.04.12. kmx1105@newsis.com

【서울=뉴시스】송혜리 기자 = 지난해 해킹 공격을 받아 고객 개인정보 1만3000여 건이 유출됐던 밀리의 서재가 개인정보보호위원회로부터 과징금 6억8496만원 및 과태료 2040만원 처분을 받았다.

밀리의 서재는 웹 방화벽 설정이나, IP주소 제약 등 서버 접근 통제 조치를 하지 않아 해킹 공격에 노출됐던 것으로 알려졌다.

앞서 밀리의 서재는 2019년 6월에도 해킹 공격을 당한 바 있다. 당시 회원 11만7800여명의 개인정보가 유출돼, 과징금 2280만원 및 과태료 1800만원 처분을 받았다.

12일 개인정보보호위원회는 전체회의를 열고 개인정보 보호를 소홀히 해 관련법을 위반한 밀리의 서재 등 6개 사업자에 대해 과징금 8억209만원과 과태료 5040만원을 부과했다.

지난해 6월 밀리의 서재는 신원 미상의 SQL인젝션 공격을 받았다. 이를 통해 이 회사 테스트서버 이용자 1만3182명의 개인 정보가 유출됐다. SQL인젝션은 웹사이트 취약점을 찾아, 데이터베이스(DB)를 관리하는 SQL 명령어에 악성코드를 삽입하는 해킹 공격 중 하나다.

개인정보위는 밀리의 서재가 홈페이지 서비스 개발을 위해 데이터베이스(DB)와 연동된 테스트 서버를 운영하면서, 테스트 서버의 웹 방화벽 설정이나, IP주소 제약 등 접근 통제 조치를 하지 않아 SQL인젝션 공격을 정상적으로 탐지, 차단하지 못했다고 봤다.

아울러 웹 서버 입력 값에 대해 검증을 하지 않아 이용자의 개인 정보가 유출되도록 한 행위는 보호법 위반에 해당한다고 판단했다.

또한 밀리의서재는 이용자 기기와 연동된 테스트 서버의 접속 기록을 로드밸런스 IP로 남기고 있어, 해당 아이피로 접속한 자가 개인정보 취급자인지 아닌지 식별이 불가능하도록 했다.

이 점을 들어 개인정보위는 밀리의서재가 개인정보 취급자의 접속 기록을 보존 관리했다고 볼 수 없다고 밝혔다.

홈페이지 접근 통제 부실로 고객 신분증 노출

밀리의 서재 이용자 신분증 노출 건에 대한 처분도 내려졌다.

개인정보위는 밀리의 서재 이용자의 주민등록번호 등 개인정보가 포함된 신분증 211건이 특정 URL검색 가능한 상태로 노출돼, 권한 없는 자가 외부에서 접근이 가능했다고 밝혔다.

이는 밀리의 서재가 홈페이지 일대일 문의 게시판 개선 과정에서 접근 통제 조치를 하지 않았기 때문으로 개인정보위 조사결과 드러났다. 또한 밀리의서재는 주민등록번호 등 고유 식별 정보가 포함된 신분증을 마스킹 처리하지 않고 원본으로 저장하는 등 암호화 조치를 하지 않았다.

개인정보위는 "주민등록번호가 포함된 신분증을 수집 보관한 행위는 보호법 24조 위반에 해당한다"면서 "홈페이지 일대일 문의 게시판에 접근 통제 조치를 하지 않고 주민등록번호 등 고유 식별 정보에 대한 암호화 조치를 하지 않는 등 안전성 확보에 필요한 조치를 소홀히 한 행위도 보호법을 위반했다"고 보고했다.

14세 미만 아동 개인정보 수집한 모바일 앱 서비스 사업자도 '철퇴'

이날 개인정보위는 모바일 앱 서비스를 운영하는 팟빵, 여보야, 제타미디어, 씨네폭스, 라이앤캐쳐스 등 사업자의 개인정보보호법 위반 건에 대해서도 과태료와 과징금 처분을 내렸다.

이들은 모바일 앱 서비스를 제공하면서 법정 대리인의 동의 확인 절차를 적용하지 않고 만 14세 미만 아동의 개인정보를 수집했다.

개인정보위는 "법정 대리인 동의 확인 절차를 적용하지 않고 만 14세 미만 아동의 개인정보를 수집한 이러한 행위는 보호법 26조 제6항 제39조의 3 제4항 위반에 해당한다고 판단했다"고 설명했다.

진성철 개인정보위 조사2과장은 "이용자의 개인정보를 처리하는 사업자는 항상 경각심을 가지고 안전조치의무를 다할 수 있도록 상시 점검해야 하며, 아동의 개인정보의 경우 특별한 보호 대상으로 인식해, 이를 수집하는 경우 반드시 법정대리인의 동의를 구해야 한다"라고 강조했다.

☞공감언론 뉴시스 chewoo@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
뉴시스에서 직접 확인하세요. 해당 언론사로 이동합니다.