2024-04-22 08:40 (월)
총 120만여 명 개인정보 유출...3개사에 과태료 및 시정명령
상태바
총 120만여 명 개인정보 유출...3개사에 과태료 및 시정명령
  • 길민권 기자
  • 승인 2023.10.27 16:11
이 기사를 공유합니다

웹셸 공격 예방 위한 주기적 보안점검, 파일 실행권한 제한 필요
관리자페이지에 대한 이중인증 등 접근통제 강화 권고

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 10월 25일 제17회 전체회의를 열고, 개인정보보호 법규를 위반한 3개 사업자에 대해 총 1억 9,719만 원의 과징금과 2,730만 원의 과태료 부과를 하기로 의결하였다.

3개 사업자는 ㈜자동차공임나라(자동차 정비 프랜차이즈업 관련 웹사이트 운영: 과징금 1,250만 원, 과태료 1,080만 원, 시정명령), ㈜오브콜스(청첩장 제작·판매 관련 웹사이트 운영: 과징금 3,371만 원, 과태료 630만 원), ㈜와이엘랜드(알뜰폰(MVNO) 이동통신 서비스(여유텔레콤) 관련 웹사이트 운영: 과징금 1억 5,098만 원, 과태료 1,020만 원, 시정명령) 등이다.

㈜자동차공임나라와 ㈜오브콜스의 경우 웹셸(악성코드) 파일 공격을 예방하기 위한 최신 보안 프로그램 미적용, 데이터베이스(DB)에 대한 접근권한 미통제, 이용자의 비밀번호를 안전하지 않은 방법으로 일방향 암호화하는 등 안전조치의무를 소홀히 하여, 각각 자동차공임나라는 72만8천680명, 오브콜스은 24만1천241명의 정보가 해킹으로 탈취된 사실을 확인하였다.

웹셸 파일 공격은 홈피 게시판 등의 파일 올리기(업로드) 취약점을 통해 시스템에서 실행가능한 악성코드를 올리고 실행하여 관리자 권한 획득, 개인정보를 탈취하는 공격 기법이다.

아울러, 두 사업자 모두 개인정보 유출 통지를 지연한 사실을 확인하였으며, 자동차공임나라의 경우 탈퇴한 회원의 개인정보를 파기하지 않은 사실도 확인하였다.

한편, 와이엘랜드는 인터넷망에서 관리자페이지에 접속하는 과정에서 2차 인증 및 아이피(IP) 주소 제한 등의 조치 없이 아이디(ID)와 비밀번호만으로 접근이 가능하도록 운영하여 해킹으로 이용자 개인정보(22만9천600명)가 탈취되었고, 개인정보 유출 통지를 지연한 사실과 보유 목적이 종료된 이용자의 개인정보를 파기하지 않은 사실을 확인하였다.

이번 유출 사고에서 주요 원인이 된 웹셸 파일 공격의 경우, 해킹 피해를 입은 대부분의 서버에서 웹셸 파일이 발견될 정도로 잘 알려진 웹 취약점 공격(웹 해킹의 90% 정도에서 사용되고 있는 공격 기법)이므로 이에 대한 각별한 주의·예방이 필요하다. 아울러, 관리자페이지에 대해서는 2차 인증, 접속 아이피(IP) 주소 제한 등 접근 권한·통제를 강화하여 외부 공격에 의한 유출 사고 예방에 노력을 기울여야 한다.


◆국내 최대 인공지능 보안 컨퍼런스 AIS 2023 개최(11월2일/7시간 보안교육 이수)

-주최: 데일리시큐

-일시: 2023년 11월 2일 오전9시~오후5시

-장소: 한국과학기술회관 지하1층 국제회의실

-참석대상: 공공, 금융, 기업 개인정보보호 및 정보보안 책임자·실무자만 가능

(현업 정보보안 실무 종사자가 아니면 참석 불가)

-강연내용: 인공지능(AI) 활용 사이버위협과 대응기술 공유

-참가비: 무료 (점심식사와 주차권은 제공하지 않습니다.)

-보안교육이수: 참관객에 7시간 보안교육 이수증 발급

-등록절차: 사전등록 후 참석승인문자 및 메일 수령자만 참석 가능

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★