방화벽 없이 데이터베이스 운영…10만여 이용자 개인정보 유출
개보위, 기본적 안전조치 의무 준수·민감정보 처리 등에 주의 당부
![[서울=뉴시스] 정병혁 기자 = 고학수 개인정보보호위원회 위원장이 23일 오후 서울 종로구 정부서울청사에서 열린 2024년 제17회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.(사진=개인정보보호위원회 제공) 2024.10.23. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2024/10/23/NISI20241023_0020569505_web.jpg?rnd=20241023160126)
[서울=뉴시스] 정병혁 기자 = 고학수 개인정보보호위원회 위원장이 23일 오후 서울 종로구 정부서울청사에서 열린 2024년 제17회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.(사진=개인정보보호위원회 제공) 2024.10.23. [email protected] *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 재테크·부동산 관련 온라인 동영상 서비스 사업자 월급쟁이부자들과 중고 렌터카 매매 중개플랫폼 사업자 박차컴퍼니가 개인정보 보호 법규를 위반해 과징금을 물게 됐다.
5일 개인정보보호위원회는 이들 사업자에 총 6069만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다. 월급쟁이부자들이 과징금 5110만원과 과태료 270만원, 박차컴퍼니가 과징금 959만원과 과태료 810만원을 각각 부과받았다.
월급쟁이부자들은 운영 중인 재테크 관련 동영상 서비스 사이트에 해킹 공격을 당해, 이용자 10만7518명의 개인정보가 유출됐다.
개인정보위 조사 결과, 월급쟁이부자들은 내부망과 인터넷망 사이에 위치하는 '중간서버'를 통해서만 데이터베이스에 접속할 수 있게 시스템을 운영하면서도, 방화벽 등 보안 장치를 하지 않아 중간서버에 접속할 수 있는 아이피(IP) 주소를 제한하지 못했다.
또 월급쟁이부자들은 외부에서 데이터베이스에 접속할 때 추가적인 인증수단 없이 아이디·비밀번호로 접속이 가능했는데, 이 때 데이터베이스 관리자 계정의 비밀번호조차 설정하지 않은 사실이 확인됐다.
박차컴퍼니는 해커의 웹 취약점을 악용하는 에스큐엘(SQL) 삽입 공격을 받아 회원 4004명의 개인정보가 유출됐다. 유출된 정보에는 회원의 장애등급 등 민감정보도 포함됐던 것으로 알려졌다.
개인정보위에 따르면 박차컴퍼니는 중고 렌터카 매매 중개플랫폼을 운영하면서, 외부로부터 불법적인 접근을 방지하기 위한 방화벽 등의 보안 장치를 설치·운영하지 않았으며, 에스큐엘(SQL) 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않아 개인정보가 유출됐다.
아울러 박차컴퍼니는 보유기간이 경과한 개인정보를 파기하지 않았으며, 개인 소유의 계좌번호를 암호화하지 않고 저장한 것으로 밝혀졌다. 또 개인정보 유출 통지를 지연한 사실도 확인됐다.
개인정보위는 "개인정보를 처리하는 사업자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검해야 하며, 불필요한 개인정보는 즉시 파기하고 특히 민감정보 등은 처리 과정에서 각별한 주의가 필요하다"고 당부했다.
◎공감언론 뉴시스 [email protected]
