[뉴스웍스=박광하 기자] SQL 삽입 공격을 통한 대규모 개인정보 유출을 막지 못한 3개 사업자가 총 1억7760만원의 과징금을 부과받게 됐다.

송경희 개인정보보호위원회 위원장은 20일 제23회 전체회의에서 이 같은 제재 처분을 의결했다.

제재를 받은 사업자는 온라인 교육콘텐츠 서비스를 운영하는 이젠, 건축 설계 상담·문의 웹사이트를 운영하는 더존하우징, 골프장 예약 플랫폼 서비스를 운영하는 레저플러스다.

이들 3개 사업자는 모두 SQL 삽입 공격으로 회원 정보가 유출됐다. SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적인 SQL 명령어를 실행되게 해 데이터베이스(DB)를 비정상적으로 조작하는 공격 기법이다.

이젠은 2021년 8월부터 2024년 8월까지 3년간 웹사이트 대상 SQL 삽입 공격으로 회원 6만9930명의 개인정보가 유출돼 텔레그램에 게시됐다. 유출된 정보에는 성명, 전화번호, 이메일 등이 포함됐으며, 이 중 3만5454명은 암호화되지 않은 주민등록번호가 유출됐다. 개보위 조사 결과 이젠은 SQL 삽입 공격에 대한 취약점 점검·조치 및 개인정보 유출 시도 탐지·차단을 소홀히 했으며, 주민등록번호 암호화 조치 미흡, 개인정보 유출통지 및 신고를 지연한 사실이 확인됐다. 개보위는 이젠에 과징금 6060만원, 과태료 540만원을 부과하고 공표 명령을 내렸다.

더존하우징은 2023년 12월 해커의 SQL 삽입 공격으로 회원 3만3879명의 아이디, 비밀번호, 이름, 전화번호 등이 유출돼 텔레그램에 게시됐다. 조사 결과 더존하우징은 SQL 삽입 공격을 사전에 탐지·차단하는 시스템을 운영하지 않았고 취약점에 대한 점검·조치를 미흡하게 했다. 회원 비밀번호에 대한 암호화 조치 미흡, DB 접속기록 관리 소홀 등도 확인됐다. 개보위는 더존하우징에 과징금 5580만원을 부과하고 공표 명령을 내렸다.

레저플러스는 2024년 9월과 10월 두 차례에 걸친 SQL 삽입 공격으로 회원 16만807명의 고객명, 휴대전화번호, 비밀번호 등이 유출됐다. 조사 결과 레저플러스는 SQL 삽입 공격 취약점 관리를 소홀히 했고 개인정보 유출 시도를 사전에 탐지하지 못했다. 회원 비밀번호에 대한 암호화 조치가 미흡했던 것으로 확인됐다. 개보위는 레저플러스에 과징금 6120만원을 부과하고 공표 명령을 내렸다.

개보위는 SQL 삽입 공격이 매우 잘 알려진 웹 취약점 공격 방식으로, 많은 정보가 저장된 DB가 직접 공격받는다는 점에서 대량의 개인정보 유출로 이어질 위험성이 높다고 강조했다. 올해 개보위에서 처분된 SQL 삽입 공격을 통한 유출 사건 7건의 평균 유출 규모는 약 21만건에 달한다.

개보위는 이번 조사 결과를 바탕으로 사업자 대상 SQL 삽입 공격 예방 수칙을 마련·제공하고, 자체적으로 점검할 수 있도록 지속적으로 안내할 계획이다.