보안

해킹으로 이용자 개인정보 줄줄이 유출…월급쟁이부자들·박차컴퍼니 제재

김보민 기자
개인정보보호위원회가 4일 서울 종로구 정부서울청사에서 전체회의를 진행하고 있다. [ⓒ개인정보보호위원회]
개인정보보호위원회가 4일 서울 종로구 정부서울청사에서 전체회의를 진행하고 있다. [ⓒ개인정보보호위원회]

[디지털데일리 김보민기자] 개인정보보호위원회(이하 개인정보위)가 안전조치 의무를 위반한 사업자를 대상으로 제재 조치를 취한다.

개인정보위는 전날 제18회 전체회의를 열고 2개 사업자에 대해 과징금 총 6069만원과 과태료 총 1080만원을 부과하기로 의결했다고 5일 밝혔다.

제재 명단에 오른 기업은 '월급쟁이부자들'과 '박차컴퍼니'다. 월급쟁이부자들은 과징금 5110만원과 과태료 270만원을, 박차컴퍼니는 과징금 959만원과 과태료 810만원을 부과 받았다.

월급쟁이부자들의 경우 운영 중인 재테크 관련 동영상 서비스 사이트가 해킹 공격을 당해 데이터베이스(DB) 내 10만7518명의 개인정보가 유출됐다.

조사 결과 월급쟁이부자들은 중간서버를 통해서만 DB에 접속할 수 있게 시스템을 운영했는데, 방화벽을 비롯한 보안 조치가 없어 중간 서버에 접속할 수 있는 아이피(IP) 주소를 제한하지 않은 것으로 확인됐다. 또한 외부에서 DB에 접속할 때 추가적인 인증 수단 없이 아이디, 비밀번호로만 가능하도록 했다. DB 관리자 계정 비밀번호조차 설정하지 않은 사실도 확인됐다.

개인정보위는 과징금 및 과태료와 더불어, 사업자 홈페이지에 처분 받은 사실을 공표하도록 했다.

박차컴퍼니의 경우 해커로부터 에스큐엘(SQL) 삽입 공격을 받아 회원 4004명의 개인정보를 유출했다. SQL 삽입 공격은 웹사이트 취약점을 이용해 DB를 비정상적으로 조작하는 기법이다. SQL은 DB 조회 등을 위해 사용하는 프로그램 언어다.

조사에 따르면 박차컴퍼니는 중고 렌터카 매매 중개 플랫폼을 운영하면서, 외부로부터 불법 접근을 방지하기 위한 보안 장비를 설치하거나 운영하지 않았다. SQL 삽입 공격을 예방하기 위한 입력값 검증 절차도 구현하지 않았다.

또한 보유 기간이 끝난 개인정보를 파기하지 않았고, 개인 소유 계좌번호를 암호화하지 않고 저장한 것으로 나타났다. 개인정보 유출 통지를 지연한 사실도 확인됐다. 개인정보위는 박차컴퍼니에도 홈페이지에 사실을 공표하도록 했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널