SQL 인젝션 공격에 고객 개인정보 유출
|
개인정보보호위원회는 전날(13일) 제9회 전체회의를 열고 개인정보 보호법을 위반한 보람상조 7개 사업자에 대해 과징금 총 5억4250만원과 과태료 1140만원을 부과와 함께 시정 및 공표 명령을 의결했다고 14일 밝혔다.
해커는 홈페이지 취약점을 이용한 '에스큐엘 인젝션(SQL Injection)' 공격을 감행해 해당 DB에 침입해 고객 이름과 휴대전화번호, 이메일 등 개인정보를 탈취했다. SQL인젝션은 웹 애플리케이션 보안 취약점을 이용해 악의적인 SQL 구문을 입력한 뒤 DB를 조작하거나 정보를 탈취하는 해킹 기법이다.
조사에 따르면 보람상조개발은 그룹 계열사들로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수해와면서 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해 왔다. 그러나 해당 시스템에 대한 접근제어 등 안전성 확보 조치를 소홀히 한 것으로 확인됐다.
또한 보람상조가 유출 사실을 인지한 뒤 정보주체에게 즉각 통지해야 하지만 이들은 법정 기한을 넘긴 뒤에야 이를 통지했고 보유 기간이 경과한 개인정보를 파기하지 않고 보관한 사실도 확인됐다. 보람상조가 유출 사실을 인지한 후 정보주체에게 즉각 통지해야 하나 법정 기한을 넘겨 통지한 사실도 드러났다. 보유기간이 경과한 개인정보를 파기하지 않고 보관한 점도 드러났다. 유출된 정보는 총 2만7882건이다.
개인정보위 관계자는 "위수탁 등을 통해 개인정보를 통합 처리하는 경우 효율성 못지않게 처리 체계의 투명성 확보가 중요하다"며"효율성보다는 처리 체계의 투명성이 더 중요하다"고 강조하면서 "앞으로도 대규모 개인정보를 처리하거나 복잡한 위수탁 구조를 가진 사업자들이 보다 투명하고 안전하게 개인정보를 처리할 수 있도록 실태점검 및 감독을 더욱 강화할 방침"이라고 말했다.
