[한국법률일보] 글로벌 아웃도어 브랜드 ‘블랙야크’ 등 운영사인 BYN블랙야크와 온라인 교육 콘텐츠 서비스 운영사인 한국토픽교육센터가 해킹으로 인한 개인정보 유출로 14억 여원의 과징금·과태료 제재를 받게 됐다.
개인정보보호위원회(위원장 고학수)는 9일 열린 제15회 전체회의에서, 개인정보 보호 법규를 위반한 ㈜비와이엔블랙야크(‘블랙야크’)와 ㈜한국토픽교육센터(‘토픽교육’)에 총 14억 1,400만 원의 과징금 및 270만 원의 과태료를 부과하고, 공표 명령을 하기로 의결했다고 10일 밝혔다.
개인정보보호위원회에 따르면, 해커는 2025. 3. 1. ~ 3. 4. 동안 블랙야크가 운영하는 웹사이트에 SQL 삽입 공격을 시도해 관리자 계정 정보 ID와 비밀번호를 탈취해 관리자 페이지에 로그인 후 이용자 342,253명의 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부(동·호수 등 개인정보를 내려받아 탈취했다.
‘SQL(Structured Query Language) 삽입 공격’은 웹사이트의 취약점을 이용해 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.
개인정보보호위원회의 조사 결과, 블랙야크는 웹사이트를 개설한 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했고, 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서도 ID와 비밀번호 외에 안전한 추가 인증수단을 적용하지 않은 사실이 확인됐다.
개인정보보호위원회는 ㈜비와이엔블랙야크에 과징금 13억 9,100만 원과 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
토픽교육의 경우에는, 해커가 2024. 3. 12. 토픽교육이 운영하는 웹사이트에 SQL 삽입 공격을 시도해 데이터베이스 내 이용자 84,085명(중복 포함)의 아이디, 비밀번호(암호화), 이름, 생년월일, 성별, 연락처, 휴대폰 번호, 이메일, 주소 등 개인정보를 탈취한 후 텔레그램에 공개했다.
개인정보보호위원회의 조사 결과, 토픽교육은 운영 중인 웹사이트에 SQL 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 했고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않았으며, 개인정보 유출을 인지하고 정당한 사유 없이 72시간을 경과해 유출 사실을 통지한 것으로 확인됐다.
개인정보보호위원회는 ㈜한국토픽교육센터에 과징금 2,300만 원과 과태료 270만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
개인정보보호위원회는 “디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어, 권한 있는 사용자인지를 판별하기 위해서는 아이디와 비밀번호 외에 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌다.”면서, “SQL 삽입 공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다.”고 강조했다.
시민을 위한 법률전문 인터넷신문 '한국법률일보' 김명훈 기자 lawfact1@gmail.com
[한국법률일보] 글로벌 아웃도어 브랜드 ‘블랙야크’ 등 운영사인 BYN블랙야크와 온라인 교육 콘텐츠 서비스 운영사인 한국토픽교육센터가 해킹으로 인한 개인정보 유출로 14억 여원의 과징금·과태료 제재를 받게 됐다.개인정보보호위원회(위원장 고학수)는 9일 열린 제15회 전체회의에서, 개인정보 보호 법규를 위반한 ㈜비와이엔블랙야크(‘블랙야크’)와 ㈜한국토픽교육센터(‘토픽교육’)에 총 14억 1,400만 원의 과징금 및 270만 원의 과태료를 부과하고, 공표 명령을 하기로 의결했다고 10일 밝혔다.개인정보보호위원회에 따르면, 해커는 2025. 3. 1. ~ 3. 4. 동안 블랙야크가 운영하는 웹사이트에 SQL 삽입 공격을 시도해 관리자 계정 정보 ID와 비밀번호를 탈취해 관리자 페이지에 로그인 후 이용자 342,253명의 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부(동·호수 등 개인정보를 내려받아 탈취했다.‘SQL(Structured Query Language) 삽입 공격’은 웹사이트의 취약점을 이용해 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.개인정보보호위원회의 조사 결과, 블랙야크는 웹사이트를 개설한 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했고, 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서도 ID와 비밀번호 외에 안전한 추가 인증수단을 적용하지 않은 사실이 확인됐다.개인정보보호위원회는 ㈜비와이엔블랙야크에 과징금 13억 9,100만 원과 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.토픽교육의 경우에는, 해커가 2024. 3. 12. 토픽교육이 운영하는 웹사이트에 SQL 삽입 공격을 시도해 데이터베이스 내 이용자 84,085명(중복 포함)의 아이디, 비밀번호(암호화), 이름, 생년월일, 성별, 연락처, 휴대폰 번호, 이메일, 주소 등 개인정보를 탈취한 후 텔레그램에 공개했다.개인정보보호위원회의 조사 결과, 토픽교육은 운영 중인 웹사이트에 SQL 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 했고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않았으며, 개인정보 유출을 인지하고 정당한 사유 없이 72시간을 경과해 유출 사실을 통지한 것으로 확인됐다.개인정보보호위원회는 ㈜한국토픽교육센터에 과징금 2,300만 원과 과태료 270만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.개인정보보호위원회는 “디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어, 권한 있는 사용자인지를 판별하기 위해서는 아이디와 비밀번호 외에 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌다.”면서, “SQL 삽입 공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다.”고 강조했다.시민을 위한 법률전문 인터넷신문 '한국법률일보' 김명훈 기자 lawfact1@gmail.com