[서울=뉴시스]송혜리 기자 = 온라인 교육콘텐츠 회사 이젠, 건축 전문 업체 더존하우징, 골프장 예약 플랫폼 운영사 레저플러스가 개인정보보호 법규를 위반한 혐의로 과징금과 과태료를 물게 됐다.

개인정보보호위원회는 이들 3개 사업자에 대해 총 1억7760만원의 과징금 및 540만원의 과태료를 부과하고, 그 결과를 공표할 것을 의결했다고 21일 밝혔다. 이젠에 과징금 6060만원과 과태료 540만원, 더존하우징에 과징금 5580만원, 레저플러스에 과징금 6120만원을 각각 부과했다.  

이들 3개 사업자는 모두 SQL 삽입 공격으로 회원 정보가 유출됐다. SQL 삽입 공격은 웹사이트에 입력창 등을 통해 해커가 조작된 명령어를 넣어, 데이터베이스에서 정보를 훔치거나 수정하는 방법이다.

이젠은 3년간 홈페이지 대상 SQL 삽입 공격으로 회원 6만9930명의 개인정보(성명, 전화번호, 이메일 등)가 유출돼 텔레그램에 게시됐고, 이중 3만5454명은 암호화되지 않은 주민등록번호가 유출됐다.

조사 결과, 이젠은 SQL 삽입 공격에 대한 취약점 점검·조치 및 개인정보 유출 시도 탐지·차단을 소홀히 한 사실이 있으며, 주민등록번호 암호화 조치 미흡, 개인정보 유출통지 및 신고를 지연한 사실도 확인됐다.

더존하우징은 2023년 해커의 SQL 삽입 공격으로 회원 3만3879명의 개인정보(아이디, 비밀번호, 이름, 전화번호 등)가 유출돼 텔레그램에 게시됐다.

더존하우징은 SQL 삽입 공격을 사전에 탐지·차단하는 시스템을 운영하지 않고 취약점에 대한 점검·조치를 미흡하게 한 사실이 확인됐으며, 회원 비밀번호에 대한 암호화 조치 미흡, 데이터베이스(DB) 접속기록 관리 소홀 등도 추가로 확인됐다.

레저플러스는 두 차례에 걸친 SQL 삽입 공격으로 회원 16만807명의 개인정보(고객명, 휴대폰번호, 비밀번호 등)가 유출됐다. 레저플러스는 SQL 삽입 공격 취약점 관리를 소홀히 했고 개인정보 유출 시도를 사전에 탐지하지 못했으며, 회원 비밀번호에 대한 암호화 조치가 미흡했다고 위원회는 밝혔다.


◎공감언론 뉴시스 chewoo@newsis.com