개인정보위, NHN커머스 구형 쇼핑몰 솔루션 'e나무' 개인정보 유출에 과징금·과태료 부과

개인정보위 로고 [사진=연합뉴스]

구형 쇼핑몰 솔루션의 보안 취약점으로 개인정보 유출 사고가 발생한 NHN커머스에 대해 개인정보보호위원회(개인정보위)가 과징금과 과태료를 부과했다.

개인정보위는 29일 전체회의를 열고 NHN커머스에 과징금 870만원, 과태료 450만원을 부과하고, 행정처분 사실을 홈페이지에 공표하도록 명령하기로 의결했다고 밝혔다.

NHN커머스는 쇼핑몰 구축을 원하는 이용사업자에게 서비스형 소프트웨어(SaaS) 방식의 쇼핑몰 솔루션 ‘e나무’를 제공해왔다. 그러나 20254년 9월경 ‘e나무’ 솔루션의 장바구니 관련 웹페이지에서 SQL 인젝션 공격이 발생해, 근린생활시설 등을 운영하는 소상공인·중소기업 등 17개 이용사업자의 홈페이지에서 총 122건의 주문자 개인정보가 유출됐다.

문제가 된 ‘e나무’ 솔루션은 서비스 개시 후 약 10년 이상이 지난 구형 시스템으로, 기술 지원과 보안 관리가 충분히 이뤄지지 못한 상태였다. 대부분의 이용사업자는 이미 차세대 솔루션으로 이전했으나, 일부 영세 사업자들이 홈페이지 이전·재구축을 하지 못한 채 기존 솔루션을 계속 사용하면서 이번 사고로 이어졌다.

개인정보위에 따르면 NHN커머스는 웹페이지 개발 및 서버 운영 주체로서 공격 사실과 유출 범위를 비교적 신속히 확인하고 개인정보 유출 신고는 법정 기한인 72시간 내 완료했다. 그러나 이용사업자들에게 이메일과 전화로 일회성 안내만 했을 뿐, 실제 통지가 제대로 전달됐는지는 확인하지 않았다. 

또 또 일부 1인 기업 등 이용사업자가 사고 사실을 인지하지 못하고 있음을 알고 있었음에도, 개인정보가 유출된 정보주체에게 직접 통지하는 등의 추가 조치를 하지 않아 결과적으로 정보주체에 대한 유출 통지가 72시간 내 이뤄지지 않았다고 개인정보위는 지적했다

이에 개인정보위는 SQL 인젝션 공격을 예방하기 위한 안전조치 의무를 이행하지 않은 점에 대해 과징금 870만원을, 정보주체에 대한 유출 통지 의무를 위반한 점에 대해 과태료 450만원을 각각 부과했다. 아울러 행정처분을 받은 사실을 NHN커머스가 운영 중인 홈페이지에 공표하도록 명령했다.

더 나아가 개인정보위는 ‘e나무’ 솔루션의 낮은 이용률과 전담 조직 해체, 과거 유사 해킹으로 과징금을 부과받은 전력 등을 고려할 때 향후 안전조치 이행을 기대하기 어렵다고 판단했다. 이에 따라 기존 이용사업자 가운데 웹사이트 운영을 지속하려는 사업자에게는 대체 솔루션을 제공하고, 웹사이트 이관 작업을 지원할 것을 개선 권고했다.