개인정보위, 안전조치 의무를 위반한 2개 사업자 제재
개인정보위, 안전조치 의무를 위반한 2개 사업자 제재- 에스큐엘(SQL) 인젝션 공격에 대비하기 위해 입력값 검증, 웹방화벽 운영 철저 등을 당부 개인정보보호위원회(위원장 고학 - 정책브리핑 |
www.korea.kr
개인정보위, '안전조치 의무 위반' 비즈니스온커뮤니케이션·NHN위투에 과징금 1억여원
개인정보위, '안전조치 의무 위반' 비즈니스온커뮤니케이션·NHN위투에 과징금 1억여원
해커의 SQL인젝션 공격을 당해 개인정보를 유출한 사업자들이 과징금을 물게 됐다. 이들 사업자는 SQL 인젝션 공격을 예방 조치를 하지 않은 것으로 확인됐다. 개인정보보호위원회는 지난 26일 제
www.etnews.com
- 사건 개요
- 개인정보보호위원회(개인정보위)는 SQL 인젝션 공격으로 개인정보가 유출된 두 개 사업자에 대해 총 1억 9,810만 원의 과징금 및 1,230만 원의 과태료를 부과
- 해당 기업은 비즈니스온커뮤니케이션(전자세금계산서 '스마트빌' 운영)과 NHN위투(패션 오픈마켓 '가방팝' 운영)
- 두 기업 모두 안전조치 의무를 위반하고 SQL 인젝션 공격을 예방하지 않아 개인정보가 대규모로 유출됨
- 유출된 개인정보 현황
- 비즈니스온커뮤니케이션: 17만 9,386건 유출 (이름, 아이디, 비밀번호, 이메일, 연락처 등)
- NHN위투: 53만 4,903건 유출 (이름, 연락처, 주민등록번호 포함)
- 피해자에는 일반 회원뿐만 아니라 미성년자, 학부모, 교사 등 다양한 계층이 포함
- SQL 인젝션 공격의 원인 및 문제점
- 입력값 검증 미흡: 파라미터화된 쿼리 미사용, 화이트리스트 방어 미적용
- 웹방화벽(WAF) 비활성화: SQL 인젝션 및 웹 공격을 차단하지 못함
- 데이터베이스(DB) 관리 부실: 기존 DB 파기 의무 위반, 주민등록번호 등의 민감 정보 보관
- 접근 통제 부재: 시스템 접속권한을 IP 주소 등으로 제한하지 않아 무단 접근 허용
- 개인정보위의 제재 및 시정 명령
- 비즈니스온커뮤니케이션
- 과징금: 1억 3,700만 원
- 과태료: 270만 원
- 시정명령 및 공표 명령
- 법령 준수 및 재발 방지를 위한 대책 수립 요구
- NHN위투
- 과징금: 6,110만 원
- 과태료: 960만 원
- 공표 명령 및 개인정보 파기 의무 준수
- 비즈니스온커뮤니케이션
- SQL 인젝션 예방을 위한 보안 권고
- 코드 보안 강화
- 입력값 검증: 화이트리스트 방식 사용
- 파라미터화된 쿼리 사용으로 SQL 주입 방지
- 에러 메시지 숨김으로 시스템 정보 노출 방지
- 시스템 보안 강화
- 웹 애플리케이션 방화벽(WAF) 도입
- 데이터베이스 접근 권한 최소화
- 정기적인 보안 감사 및 모의 해킹 실시
- 참고 가이드 및 지원 서비스
- 한국인터넷진흥원(KISA) 제공 '소프트웨어 보안약점 진단 가이드' 활용
- KISA의 '보안취약점 점검' 서비스 신청 및 활용
- 코드 보안 강화
- 결론
- 이번 사건은 SQL 인젝션 공격의 위험성과 예방 조치의 중요성을 강조
- 기업은 입력값 검증, 웹방화벽 적용, 개인정보 파기 절차 준수 등 기술적·관리적 보호조치를 강화해야 함
- 개인정보 처리자는 보안 가이드를 참고하여 개발 단계부터 보안 취약점을 최소화하고, 정기적인 보안 점검을 통해 안전한 개인정보 보호 체계를 마련해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| AI 기본법 하위 법령 마련 시 '최소 침해 원칙' 강조 및 개인정보 보호 정책 논의 (0) | 2025.03.11 |
|---|---|
| 딥시크 사칭 피싱 사이트 급증 및 북한 라자루스 그룹 악성코드 유포 경고 (0) | 2025.03.11 |
| GS리테일, 홈쇼핑 및 편의점 웹사이트서 약 158만 건 개인정보 유출 사고 발생 (0) | 2025.03.11 |
| SOC 3.0, AI를 통한 보안 운영 센터(SOC)의 진화와 인재 역량 강화 (0) | 2025.03.10 |
| MITRE, AI 보안 도전과제 해결 위한 OCCULT 프레임워크 발표 (0) | 2025.03.10 |