개인정보보호위원회가 지난 13일 제20회 전체회의를 열어 개인정보보호 법규를 위반한 코다스디자인과 스피드옥션 등 두 사업자에 총 2억2343만원의 과징금과 1440만원의 과태료를 부과하기로 의결했다.
코다스디자인은 해커의 'SQL 인젝션' 공격으로 이용자 개인정보(3만8209명)가 유출됐다. 특히 해킹 공격을 당한 웹페이지의 입력값 검증 등 보안 취약점에 대한 점검·조치를 비롯한 안전조치 의무를 제대로 지키지 않은 사실을 확인했다. SQL인젝션 공격은 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 'SQL문'을 주입하고, 데이터베이스(DB)를 장악한 후 개인정보를 탈취하는 수법이다.
스피드옥션은 해커가 웹페이지 보안 취약점을 이용해 웹셸(악성코드)을 업로드하고 DB에 접근해 이용자의 개인정보를 유출한 사례다. 안전조치 의무를 준수하지 않은 사실도 확인했다.
개인정보위 관계자는 “인터넷 웹사이트를 운영하는 사업자는 주기적으로 웹 보안 취약점을 점검하고 조치해야 한다”며 “SQL 인젝션이나 웹셸 공격은 잘 알려진 웹 취약점 공격인 반면 파괴력은 매우 커 DB 보안 등에 각별한 주의·예방이 필요하다”고 말했다.
조재학 기자 2jh@etnews.com