SQL(에스큐엘) 삽입 공격으로 26만여명의 개인정보가 유출됐다.
21일 개인정보보호위원회는 전날 전체 회의를 열고 개인정보 보호 법규를 위반한 △이젠 △더존하우징 △레저플러스 3개 사업자에 총 1억7760만원의 과징금과 540만원의 과태료를 부과했다고 밝혔다.
이들 3사는 모두 SQL 삽입 공격으로 회원 정보가 유출됐다. SQL 삽입 공격이란 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.
온라인 교육콘텐츠 서비스 운영기업인 이젠은 지난해 8월까지 3년간 홈페이지에 해당 공격이 이뤄져 6만9930명의 이름과 전화번호, 이메일 등 개인정보가 유출돼 텔레그램에 게시됐다. 이중 3만5454명은 주민등록번호가 그대로 유출됐다.
이젠은 SQL 공격에 대비한 취약점 점검 조치나 개인정보 유출 시도 등을 소홀히 했고, 주민등록번호를 암호화하지 않았을뿐더러, 개인정보가 유출되고도 통지나 신고를 지연했다. 이에 과징금 6060만원과 과태료 540만원이 부과됐다.
건축 전문업체인 더존하우징은 2023년 12월 동일한 공격으로 회원 3만3879명의 개인정보(아이디, 비밀번호, 이름, 전화번호 등)가 유출돼 텔레그램에 게시됐다. 이에 과징금 5580만원이 부과됐다.
골프장 예약 플랫폼인 레저플러스는 두 차례에 걸친 SQL 공격으로 3개 사 중 가장 많은 16만807명의 개인정보(고객명, 휴대폰 번호, 비밀번호)가 유출됐다. 이 회사는 개인정보 유출 시도를 사전에 탐지 못했고, 암호화 조치도 미흡해 과징금 6120만원이 부과됐다.
개보위 관계자는 "SQL 삽입 공격은 매우 잘 알려진 웹 취약점 공격 방식"이라며 "많은 정보가 저장된 DB가 직접 공격받는다는 점에서 대량의 개인정보 유출로 이어질 위험성이 높아, 예방을 위한 사업자의 특별한 주의가 필요하다"고 말했다.