허술한 관리로 해커에 개인정보 털린 네오팜·일학…과징금 1억원

(서울=뉴스1) 이기림 기자 = 화장품과 낚시용품을 판매하는 온라인 쇼핑몰 웹사이트 운영 사업자 네오팜과 일학이 총 1억 2317만 원의 과징금과 1080만 원의 과태료를 물게 됐다.

개인정보보호위원회는 제17회 전체회의에서 이같이 의결했다고 24일 밝혔다. 개인정보위는 개인정보 유출 신고에 따라 2개 사업자에 대해 조사를 진행해 위반 내용을 확인했다.

네오팜의 경우 해커가 사전에 획득한 쇼핑몰 관리자 계정 정보로 쇼핑몰의 웹 관리자 페이지에 접속해 쇼핑몰 전체 회원인 29만 3723명의 개인정보를 탈취했다.

특히 해커는 2023년 8월 5일부터 약 2주 동안 쇼핑몰 웹 관리자 페이지에 750여 회 접근해 회원정보를 조회하고 내려받았으며, 약 44만 건의 불법 문자도 발송했다.

조사 결과 네오팜의 개인정보처리시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인할 수 있었고, 아이피(IP) 주소 등을 제한하지 않는 등 안전조치의무를 위반했기 때문으로 확인됐다.

네오팜은 개인정보 취급자 별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리도 소홀했고, 유출된 이용자에게 개인정보 유출 통지를 지연한 것으로 조사됐다.

개인정보위는 네오팜에 과징금 1억 517만 원과 과태료 720만 원을 부과하고, 개인정보위 홈페이지에 그 결과를 공표하기로 했다.

일학의 경우 2023년 12월 17일부터 이틀간 해커의 에스큐엘(SQL) 삽입 공격을 받아 개인정보가 유출됐는데, 개인정보를 유출한 해커는 일학의 쇼핑몰 게시판에 1만 명의 개인정보를 게시하기도 했다.

조사 결과, 일학은 낚시용품 쇼핑몰을 운영하면서 웹 관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았다. 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실했던 것으로 확인됐다.

SQL 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치의무도 위반한 것으로 조사됐다.

개인정보위는 일학에 과징금 1800만 원과 과태료 360만 원을 부과하고, 사업자 홈페이지에 그 사실을 공표하도록 명령했다.

개인정보위 측은 "웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다"며 "SQL 삽입 공격처럼 잘 알려진 웹 취약점 공격에 대해서는 적절한 보안조치 등 지속적인 주의가 필요하다"고 밝혔다.

lgirim@news1.kr