등산용품 기업인 블랙야크가 해킹을 당해 고객 개인정보 34만건을 유출했다가 13억원대 과징금을 물게 됐다.
개인정보보호위원회는 9일 전체회의를 열고 개인정보보호법을 위반한 ㈜비와이엔블랙야크(블랙야크)에 과징금 13억9100만원을 부과하고 이를 홈페이지에 공표하도록 명령했다고 10일 밝혔다.
앞서 지난 3월 1일~4일 블랙야크 홈페이지는 해커로부터 에스큐엘(SQL) 삽입 공격을 받아 관리자 계정 정보(아이디·비밀번호)가 탈취 당했다. 이후 해커는 탈취한 계정 정보로관리자 페이지에 로그인한 뒤 이용자 34만2253명의 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부 등 개인정보를 빼갔다.
에스큐엘 삽입공격이란 검색, 로그인, 게시판 등 웹사이트의 입력창에 'SQL 코드'를 입력해 특정 명령을 실행하게 만드는 것을 뜻한다. 공격자는 이 과정을 통해 로그인 우회, 데이터 탈취 등을 할 수 있다.
개인정보위 조사결과 블랙야크는 자사 웹사이트를 개설한 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했다. 또 재택근무 등으로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았다.
개인정보위는 "디지털 전환 가속화로 재택근무 등이 많아지며 외부 접속을 허용하는 사례가 크게 늘고 있다"며 "권한 있는 사용자인지를 판별하기 위해 아이디·비밀번호 외 안전한 추가적 인증수단의 적용이 어느 때보다 중요하다"고 강조했다.
개인정보위는 블랙야크와 유사한 SQL 삽입 해킹 공격을 받아 이용자 8만4085명의 개인정보를 유출한 온라인 교육콘텐츠 업체 한국토픽교육센터에도 과징금 2300만원과 과태료 270만원을 부과했다. 처분내용 공표도 명령했다.
이 업체는 보안 취약점 점검·조치를 소홀히 했고, 정보 유출 사실을 알고도 정당한 사유 없이 72시간이 지난 뒤에야 유출 사실을 통지한 것으로 나타났다.