개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 12월 13일 제20회 전체회의를 열고, 개인정보보호 법규를 위반한 2개 사업자에 대해 총 2억 2,343만 원의 과징금과 1,440만 원의 과태료를 부과하기로 의결하였다.

개인정보위 조사 결과, 2개 사업자 모두 개인정보 보호법에 따른 안전조치 의무와 개인정보 유출 통지·신고 의무를 위반하여 과징금과 과태료 부과 처분을 받게 되었다.

구체적으로 보면, ㈜코다스디자인은 해커의 SQL 인젝션 공격으로 이용자의 개인정보(38,209명)가 유출되었는데, 해킹 공격을 당한 웹 사이트의 입력값 검증 등 보안 취약점에 대한 점검·조치 등 안전조치 의무를 제대로 지키지 않은 사실을 확인하였다.

SQL 인젝션 공격은 웹사이트 취약점을 이용해 악의적인 SQL(Structured Query Language, DB 조회 등을 위해 사용하는 프로그램 언어)문을 실행되게 함으로써 DB를 비정상적으로 조작하는 공격 기법이다.

㈜스피드옥션은 해커가 웹 사이트 보안 취약점을 이용하여 웹셸(악성코드)을 업로드하고 데이터베이스(DB)에 접근하여 이용자의 개인정보를 유출한 경우로, 웹사이트에 대한 웹셸(악성코드) 공격을 예방하는 기본 조치인 파일 업로드 확장자 및 실행권한 제한 등 보안 취약점 조치, 데이터베이스(DB)에 대한 접근 권한을 아이피(IP) 주소로 제한하는 등 안전조치 의무를 준수하지 않은 사실을 확인하였다.

웹셸 공격은 홈페이지 게시판 등의 파일 업로드 취약점을 통해 시스템에서 실행가능한 악성코드를 삽입·실행하여 관리자 권한 획득, 개인정보를 탈취하는 공격 기법이다.

이번에 처분한 2개 사업자는 모두 웹 보안 취약점으로 인한 해킹 공격으로 개인정보가 유출된 경우로, 인터넷 웹 사이트를 운영하는 사업자는 주기적으로 웹 보안 취약점을 점검하고 조치해야 하며, 특히, SQL 인젝션이나 웹셸 공격은 잘 알려진 웹 취약점 공격인 반면 파괴력은 매우 커 데이터베이스(DB) 보안 등에 각별한 주의·예방이 필요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★