안전조치 의무 위반 3개 사업자 제재

안전조치 의무 위반 3개 사업자 제재

- 다량의 개인정보 탈취가 가능한 SQL 삽입 공격으로 개인정보 유출

- 개인정보위, 예방을 위한 이용 수칙 제시 및 자체점검 안내

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 11월 20일(목) 제23회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자*에 대해 총 1억 7,760만 원의 과징금 및 540만 원의 과태료를 부과하고, 그 결과를 공표할 것을 의결하였다.

* ㈜이젠 : 온라인 교육콘텐츠 서비스 운영 / ㈜더존하우징 : 건축 전문 업체로 건축 설계 상담·문의 홈페이지 운영 / ㈜레저플러스 : 골프장 예약 플랫폼 서비스 운영  

이들 3개 사업자는 모두 에스큐엘(이하 'SQL') 삽입 공격*으로 회원 정보가 유출되었으며, 구체적인 위반 내용과 처분 결과는 다음과 같다.

* 에스큐엘(SQL, Structured Query Language) 삽입 공격 : 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법

< ㈜이젠 : 과징금 6,060만 원과 과태료 540만 원 부과 및 공표 명령 >

㈜이젠은 3년간('21.8 ~ '24.8) 홈페이지 대상 SQL 삽입 공격으로 회원 69,930명의 개인정보(성명, 전화번호, 이메일 등)가 유출되어 텔레그램에 게시되었고, 이중 35,454명은 암호화되지 않은 주민등록번호가 유출되었다.

조사결과, ㈜이젠은 SQL 삽입 공격에 대한 취약점 점검·조치 및 개인정보 유출 시도 탐지·차단을 소홀히 한 사실이 있으며, 주민등록번호 암호화 조치 미흡, 개인정보 유출통지 및 신고를 지연한 사실도 확인되었다.

< ㈜더존하우징 : 과징금 5,580만 원 부과 및 공표 명령 >

㈜더존하우징은 '23.12월 해커의 SQL 삽입 공격으로 회원 33,879명의 개인정보(아이디, 비밀번호, 이름, 전화번호 등)가 유출되어 텔레그렘에 게시되었다.

조사결과, ㈜더존하우징은 SQL 삽입 공격을 사전에 탐지·차단하는 시스템을 운영하지 않고 취약점에 대한 점검·조치를 미흡하게 한 사실이 확인되었으며, 회원 비밀번호에 대한 암호화 조치 미흡, 데이터베이스(DB) 접속기록 관리 소홀 등도 추가로 확인되었다.

< ㈜레저플러스 : 과징금 6,120만 원 부과 및 공표 명령 >

㈜레저플러스는 두 차례에 걸친 SQL 삽입 공격('24.9, '24.10)으로 회원 160,807명의 개인정보(고객명, 휴대폰번호, 비밀번호 등)가 유출되었다.

조사결과, ㈜레저플러스는 SQL 삽입 공격 취약점 관리를 소홀히 하였고 개인정보 유출 시도를 사전에 탐지하지 못한 것이 확인되었다. 또한, 회원 비밀번호에 대한 암호화 조치가 미흡했던 것으로 확인되었다.

< 이번 조사·처분의 의의 >

SQL 삽입 공격은 매우 잘 알려진 웹 취약점 공격 방식으로, 많은 정보가 저장된 DB가 직접 공격받는다는 점에서 대량의 개인정보 유출로 이어질 위험성이 높아, 예방을 위한 사업자의 특별한 주의가 당부 된다.

'25년 위원회에서 처분된 SQL 삽입 공격을 통한 유출 사건(7건) 평균 유출 규모 약 21만 건 

개인정보위는 이번 조사 결과를 바탕으로 사업자 대상 SQL 삽입 공격 예방 수칙을 마련·제공하고, 자체적으로 점검할 수 있도록 지속적으로 안내할 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

담당자 : 조사2과 장석인(02-2100-3157)