개인정보위, 비와이엔블랙야크·한국토픽교육센터에 14억 1400만 원 과징금 부과

비와이엔블랙야크, 과징금 13억 9100만 원

한국토픽교육센터, 과징금 2300만 원

이름, 성별, 생년월일, 전화번호 등 유출

 

[사진=개인정보보호위원회]

개인정보보호위원회(이하 개인정보위)가 9일 전체회의를 열고 개인정보 보호법을 위반한 (주)비와이엔블랙야크와 (주)한국토픽교육센터에 대해 총 14억 1400만 원의 과징금 및 과태료를 부과하고, 해당 사실을 공표하도록 명령했다. 

10일 개인정보위에 따르면, 비와이엔블랙야크에는 과징금 13억 9100만 원과 공표 명령이, 한국토픽교육센터에는 과징금 2300만 원과 과태료 270만 원, 공표 명령이 부과됐다. 

개인정보위 조사 결과, 비와이엔블랙야크는 웹사이트를 개설한 21년 10월부터 에스큐엘(SQL) 삽입 공격에 대한 취약점 점검과 보안 조치를 소홀히 했다. 또한 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하며 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않은 사실도 확인됐다. 

이러한 보안 허점으로 인해 해커는 올해 3월 1일부터 4일까지 SQL 삽입 공격을 통해 관리자 계정을 탈취하고 이를 통해 관리자 페이지에 로그인 후 총 34만 2253명의 개인정보를 내려받아 유출시켰다. 유출된 정보에는 이름, 성별, 생년월일, 휴대폰 번호 등이 포함됐다. 

한국토픽교육센터 역시 유사한 방식으로 개인정보 유출 사고를 겪었다. 해커는 지난해 3월 12일 웹사이트에 SQL 삽입 공격을 시도해 데이터베이스 내에서 이용자 정보를 탈취한 후 텔레그램에 공개했다. 총 8만 4085명의 개인정보가 탈취됐다. 

조사 결과 한국토픽교육센터는 SQL 삽입 공격을 막기 위한 취약점 점검 및 조치를 소홀히 했다. 또한 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않은 사실이 확인됐다. 

개인정보위는 디지털 전환과 재택근무 확산으로 외부 접속 환경이 일반화된 만큼, 단순한 아이디·비밀번호 외에 다중 인증 등 안전한 인증 수단 도입이 필수적이라고 강조했다. 아울러, SQL 삽입 공격은 널리 알려진 해킹 수법인 만큼 웹사이트 보안 취약점 점검 등 기본적인 보안조치에 소홀해서는 안 된다고 지적했다.