개인정보보호위원회는 에스큐엘(SQL) 삽입 공격으로 회원 개인정보가 유출된 이젠, 더존하우징, 레저플러스 등 3개 사업자에 총 1억7760만원의 과징금과 540만원의 과태료를 부과했다.
개인정보위는 전날 전체회의를 열고 이러한 결과를 공표할 것을 의결했다고 21일 밝혔다.
에스큐엘 삽입 공격이란 검색, 로그인, 게시판 등 웹사이트의 입력창에 'SQL 코드'를 입력해 특정 명령을 실행하게 만드는 공격 기법이다. 해커는 이 과정을 통해 로그인 우회, 데이터 탈취 등을 할 수 있다.
온라인 교육콘텐츠 서비스 업체인 이젠은 2021년 8월부터 2024년 8월까지 3년간 홈페이지 대상 SQL 삽입 공격으로 회원 6만9930명의 성명, 전화번호, 이메일 등 개인정보가 유출돼 텔레그램에 게시됐다. 이 중 절반이 넘는 3만5454명(50.7%)은 암호화되지 않은 주민등록번호가 유출됐다.
조사 결과, 이젠은 SQL 삽입 공격에 대한 취약점 점검·조치와 개인정보 유출 시도 탐지·차단을 소홀히 한 사실이 발견됐다. 주민등록번호 암호화 조치 미흡, 개인정보 유출통지·신고를 지연한 사실도 확인됐다. 이에 개인정보위는 이젠에 과징금 6060만원과 과태료 540만원을 부과했다.
건축 전문 업체인 더존하우징도 2023년 12월 해커의 SQL 삽입 공격으로 회원 3만3879명의 아이디, 비밀번호, 이름, 전화번호 등 개인정보가 유출돼 텔레그램에 올라왔다.
더존하우징은 SQL 삽입 공격을 사전에 탐지·차단하는 시스템을 운영하지 않고 취약점에 대한 점검·조치를 미흡하게 한 것으로 나타났다. 회원 비밀번호에 대한 암호화 조치 미흡, 데이터베이스(DB) 접속기록 관리 소홀 등도 추가로 확인됐다. 개인정보위는 더존하우징에 과징금 5580만원을 부과했다.
골프장 예약 플랫폼 서비스를 운영하는 레저플러스는 2024년 9월과 10월 두 차례에 걸친 SQL 삽입 공격으로 회원 16만807명의 고객명, 휴대폰번호, 비밀번호 등 개인정보가 유출됐다. 개인정보위에 따르면 레저플러스는 SQL 삽입 공격 취약점 관리를 소홀히 했고 개인정보 유출 시도를 사전에 탐지하지 못했다. 회원 비밀번호에 대한 암호화 조치도 미흡했다. 개인정보위는 레저플러스에 과징금 6120만원을 부과했다.
개인정보위는 "SQL 삽입 공격은 많은 정보가 저장된 데이터베이스가 직접 공격받는다는 점에서 대량의 개인정보 유출로 이어질 위험성이 높다"며 "이번 조사 결과를 바탕으로 사업자의 예방 수칙을 마련해 제공하겠다"고 말했다.