개인정보보호를 위한 안전 조치를 소홀히 해 약 18만건의 개인정보가 유출된 비즈니스온커뮤니케이션이 과징금 1억3000여만원을 물게 됐다. 해킹으로 53만여건의 개인정보가 유출된 엔에이치엔위투에는 과징금 6000여만원이 부과됐다.
개인정보보호위원회(개보위)는 27일 개인정보보호법을 위반한 두 업체에 과징금과 시정명령 처분을 전날 전체회의에서 의결했다고 밝혔다.
개보위에 따르면 온라인 전자세금계산서 발행 서비스인 '스마트빌'을 운영하는 비즈니스온은 정체를 알 수 없는 해커의 SQL(데이터베이스 조회 등에 사용하는 프로그램 언어) 인젝션 공격을 받아 회원 정보 17만9386건을 외부로 유출했다.
SQL 인젝션 공격은 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 'SQL문'을 주입하고 데이터베이스(DB)를 장악한 뒤 개인정보를 빼가는 수법이다.
비즈니스온은 이 공격을 예방하기 위한 방어 조처를 하지 않았다. 또 외부로부터 불법적인 접근을 막는 시스템 접속 권한을 아이피(IP) 주소 등으로 제한하지 않는 등 안전조치 의무를 어긴 것으로 나타났다. 또 유출 신고를 뒤늦게 한 점도 확인됐다.
개인정보위는 비즈니스온에 과징금 1억3700만원, 과태료 270만원을 부과했다. 또 법령 준수와 재발 방지를 위한 대책을 세워 이행하도록 시정 명령했고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다.
엔에이치엔위투도 자사가 운영하는 패션 분야 오픈마켓인 '가방팝' 쇼핑몰에 입점한 '판매자시스템'이 동일한 수법의 해킹 공격을 받았다.
이에 따라 해당 시스템에서 보유한 53만4903건의 판매자와 고객의 개인정보가 유출됐다. 유출된 정보에는 회원의 주민등록번호도 포함된 것으로 확인됐다.
엔에이치엔위투는 2022년 7월 시스템 개편 당시 기존 시스템에 SQL 인젝션 공격을 예방하기 위한 입력값 방어 조치를 마련하지 않았고, 웹 방화벽도 비활성화한 상태로 운영했다.
또 2013년 2월 기존 판매자시스템의 옛 DB를 현행 DB로 이관하는 과정에서 개인정보 처리 목적이 달성된 옛 DB를 파기하지 않은 사실도 파악됐다. 여기엔 개인정보보호법상 파기 대상인 주민등록번호가 계속 보관돼 있었다.
이에 개인정보위는 엔에이치엔위투에 과징금 6110만원과 과태료 960만원을 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 했다.