해킹, 업무담당자 실수 등으로 개인정보 유출
개인정보 텔레그램, 다크웹 등에 게재되기도
유출 사실 통보하지 않은 업체도 5군데 적발
개인정보위는 이날 정부서울청사에서 제5회 전체회의를 개최하고, 개인정보가 유출된 16개 사업자에 대해 2370만원의 과징금과 9200만원의 과태료 부과 처분을 의결했다고 밝혔다.
이번 조사는 사업자들이 한국인터넷진흥원(KISA)에 유출사실을 신고함에 따라 진행됐다. 조사 결과 유출 원인은 해킹이 12건, 업무상과실이 4건이었다.
캔바, 징가, 플루크, 하우빌드 등 4개 사업자는 아마존 클라우드서비스(AWS)를 이용하면서 안전한 인증수단을 적용하지 않아 해커에게 관리 접근권한이 탈취당한 것으로 드러났다.
한국화재연구소, 넬슨스포츠, 아시아나항공, SK하이닉스, 성보공업 등 5개 사업자에 대한 해킹은 SQL 인젝션, 웹셀 공격, 무작위 대입 공격으로 확인됐다.
SQL 인젝션은 데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 유출하는 공격 기법이다.
윕셀 공격은 시스템에 명령을 내릴 수 있는 코드인 웹셀에 가해지는 공격 기법을 의미한다. 웹서버 취약점을 통해 서버 스크립트가 업로드되면 해커들은 보안 시스템을 피해 별도 인증 없이 시스템에 접속해 원격으로 웹서버를 조정할 수 있다.
강원도의사회, 한국투자신탁운용, 스태츠칩팩코리아, 제이셋스태츠칩팩코리아 등 4개 사업자의 경우 업무상 실수로 개인정보가 외부에 공개되거나 내부 직원들에게 개인정보가 잘못 전달된 것으로 조사됐다.
이 밖에 잇올, 휘닉스중앙 등 사업자에선 탈취당한 개인정보 중 일부는 다크웹에 게시된 사실이 확인됐다. 디지틀조선일보 등에서는 자사 서비스를 접수한 일부에게 보이스피싱 메일이 보내졌다.
캔바, 징가, 플루크, 성보공업, 휘닉스 중앙 등 5개 사업자는 개인정보가 유출된 사실을 알고도 즉시 피해자들에게 통지하지 않은 사실이 적발됐다.
양청삼 개인정보위 조사조정국장은 유출사고 즉시 통지하지 않은 사례에 대해 "유출이 발생한 경우 피해자들이 더 큰 피해를 당하지 않도록 즉시 유출 통지를 해달라"고 사업자들에게 당부했다.
한편 개인정보위는 공용클라우드를 통한 해킹 사고가 빈번하게 발생하는 점에 대해 아마존 등 서비스 제공자와 함께 개인정보 보호를 위한 공동 교육, 홍보를 추진할 계획이다.
◎공감언론 뉴시스 ksj87@newsis.com