[아이티데일리] 개인정보보호위원회(위원장 고학수)는 26일 제4차 전체회의를 열고 개인정보보호 법규를 위반한 비즈니스온커뮤니케이션(이하 비즈니스온)과 엔에이치엔위투에 과징금 총 1억 9,810만 원, 과태료 총 1,230만 원을 부과하기로 의결했다고 밝혔다.

비즈니스온은 신원미상의 해커로부터 SQL 인젝션 공격을 받아 스마트빌 서비스의 회원 정보 179,386건이 유출됐다. SQL 인젝션 공격은 악의적인 SQL문을 삽입, 데이터베이스가 비정상적으로 동작하도록 조작하는 공격 기법이다.

개인정보위 조사 결과, 비즈니스온은 SQL 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고, 외부로부터 불법적 접근을 방지하기 위한 시스템 접속 권한을 IP 주소 등으로 제한하지 않았다. 유출 신고를 지연한 사실도 확인됐다.

이에 개인정보위는 비즈니스온에 과징금 1억 3,700만 원과 과태료 270만 원을 부과하고 법령 준수와 재발방지를 위한 대책을 수립‧이행하도록 시정명령하는 한편, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다.

엔에이치엔위투 역시 SQL 인젝션 공격으로 고객 개인정보를 유출했다. 회사가 운영 중인 패션 분야 오픈마켓 ‘가방팝’ 쇼핑몰에 입점한 판매자를 위한 시스템이 해커로부터 SQL 인젝션 공격을 받았다.

그 결과 해당 시스템에서 보유한 534,903건의 판매자 및 고객의 개인정보가 빠져나갔다. 유출된 정보에는 회원의 주민등록번호도 포함된 것으로 확인됐다.

엔에이치엔위투는 지난 2022년 7월 시스템을 개편하며 과거 거래내역 조회 및 고객 응대를 위해 기존 시스템도 함께 운영해 왔다. 이 기존 시스템에 SQL 인젝션 공격을 예방하기 위한 입력값 방어 조치가 이뤄지지 않았으며, 웹 방화벽을 비활성화한 상태로 운영했다.

아울러 2013년 2월 기존 시스템을 현행 DB로 이관하며 구 DB를 파기하지 않았는데 여기에 법상 파기 대상인 주민등록번호가 계속 보관돼 있던 사실도 개인정보위가 확인했다.

개인정보위는 엔에이치엔위투에 과징금 6,110만 원과 과태료 960만 원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다.

개인정보위 측은 “유출 사고가 발생하지 않도록 안전조치와 관련 의무 사항을 상시 점검하고, 시스템 개선 등으로 불필요한 개인정보가 포함돼 있는지 확인 후 파기토록 해야 한다”고 당부했다.