비와이엔블랙야크 제공개인정보보호 법규를 위반한 의류제조업체 (주)비와이엔블랙야크에 13억9천여만원의 과징금이 부과됐다.
개인정보보호위원회는 9일 전체회의에서 비와이엔블랙야크에 이같은 규모의 과징금과 과태료 부과, 공표 명령을 하기로 의결했다고 10일 밝혔다.
개인정보위에 따르면 지난 3월 초 해커가 비와이엔블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도해 관리자 계정 정보를 탈취한 뒤 이용자 34만2253명의 이름과 생년월일, 휴대폰 번호 등 개인정보를 내려받아 탈취했다.
에스큐엘(SQL, Structured Query Language) 삽입 공격은 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.
개인정보위 조사 결과 비와이엔블랙야크는 웹사이트를 개설한 '21. 10월부터 에스큐엘(SQL) 삽입 공격 취약점에 대한 점검·조치를 소홀히 했고 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않은 사실이 확인됐다.
개인정보위는 역시 해커에 의해 같은 방법으로 8만4천여명의 개인정보가 탈취된 온라인 교육 컨텐츠 사업체인 ㈜한국토픽교육센터에 대해서도 과징금 2300만원 및 과태료 270만 원 부과, 공표 명령을 의결했다.
개인정보위는 디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어, 권한 있는 사용자인지를 판별하기 위해서는 아이디/비밀번호외 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌다고 강조했다.
또 에스큐엘(SQL) 삽입 공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있다며 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다고 밝혔다.