LG유플러스와 컴투스 등 8개 기업이 개인정보보호 법규를 위반했다는 이유로 개인정보보호위원회(개인정보위)로부터 과태료를 부과받았다. 해당 기업들은 보안 시스템 취약으로 해킹공격에 노출돼 개인정보가 유출됐다.
개인정보위는 28일 정부서울청사에서 전체회의를 열고 개인정보보호법규를 위반한 8개 사업자에 도합 3120만원의 과태료 부과 등을 의결했다며 이같이 밝혔다.
이번 조사는 해당 사업자들이 한국인터넷진흥원(KISA)에 개인정보 유출사실을 신고하면서 진행됐다.
LG유플러스에서는 임직원 등의 교육시스템 내 일부 페이지가 로그인 없이접근할 수 있도록 돼 있었고 특수문자 차단기능도 적용되지 않았었다.
이로 인해 해커가 LG유플러스를 상대로 SQL 주입 방식(데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 빼내는 기법)을 동원해 공격했다. 그 결과 LG유플러스 임직원 등 메일정보가 다크웹에 게시되는 피해가 발생했다.
대동병원은 인터넷 게시판 파일 업로드 취약점으로 회원정보가 유출됐다. 해커는 대동병원에 대해 웹셸(Web Shell) 방식, 즉 시스템에 명령을 내릴 수 있는 코드로 웹서버 취약점을 통해 스크립트가 게재되면 보안시스템을 피해 별도 인증 없이 시스템에 접속해 원격으로 웹서버를 조종하는 방식으로 공격을 가해 회원들의 메일 정보를 빼냈다.
로젠에서는 택배 영업소장이 개인정보를조회할 수 있는 계정을 제3자에게 불법으로 제공해 고객 개인정보가 유출되는 사고가 발생했다. 컴투스에서는 사내망에 건강검진 대상자를 공지하면서 임직원 연락처 등을 잘못 게시했고 국립중앙박물관회는 개인정보가 포함된 설문지를 책상 위에 방치해 쓰레기장에 버려졌던 것으로적발됐다.
누리미디어는 홈페이지에 경품 이벤트 당첨자를 공지하면서 비식별처리된 당첨자 명단이 아닌 전체 참여자의 개인정보 파일을 잘못 게시한 점이 확인됐다. 나라사랑공제회는 로그인 없이도 관리자 페이지에 접근이 가능하도록 허술하게 홈페이지를 운영했던 사실이, 정상북한산리조트는 홈페이지 기능 업데이트 과정에서 미완성된 소스코드를 사용해 타인의 예약정보가 조회되도록 한 사실이 각각 적발됐다.
개인정보위는 ▲LG유플러스에 과태료 600만원과 결과공표 처분을 ▲로젠에 과태료 600만원 부과조치를 각각 내렸고 ▲대동병원 ▲나라사랑공제회에는 과태료 360만원 ▲컴투스 ▲국립중앙박물관회 ▲누리미디어 ▲정상북한산리조트에는 각각 과태료 300만원씩 부과했다.
양청삼 개인정보위 조사조정국장은 "개인정보 유출 사고는 외부 해킹뿐 아니라 담당자 실수와 같은 내부 요인으로도 발생하고 있다"며 "개인정보 유출 사고를 방지하기 위해 개인정보처리 시스템의 안전조치 의무사항을 상시 점검하고 개인정보 보호 교육 등 담당자인식 제고 노력도 지속적으로 해야한다"고 했다.
*** 본 정보는 투자 참고용 자료로서 그 정확성이나 완전성을 보장할 수 없으며, 어떠한 경우에도 법적 책임소재에 대한 증빙자료로 사용될 수 없습니다.