'개인정보 53만건 유출'…NHN위투, 과징금 6000만원 작성일 02-27 141 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">예방 방어조치 안해 주민번호도 유출</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="YS1n6lTNy4"> <figure class="figure_frm origin_fig" contents-hash="9c48df5024909b9e56b8c43dc34c8a9a9884f1b14239bb42ae8dd9366f8cc8e7" dmcf-pid="GIHeVOhLhf" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202502/27/BUSINESSWATCH/20250227120004936ckgi.jpg" data-org-width="645" dmcf-mid="Wy5i8hvaW8" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202502/27/BUSINESSWATCH/20250227120004936ckgi.jpg" width="658"></p> </figure> <p contents-hash="74874610155532a5df254d8a6e7f8a79c10a7ca6c10e311a0500f77e4ceb55c7" dmcf-pid="HCXdfIlolV" dmcf-ptype="general">NHN위투가 운영하는 쇼핑몰에서 53만건의 개인정보유출 사고가 발생해 개인정보보호위원회로부터 6000만원 규모 과징금 처분을 받았다.</p> <p contents-hash="c484ad13f258aba1ebbe6d7a384536c2105a65b26dde87cb125899bd723a06f1" dmcf-pid="XhZJ4CSgW2" dmcf-ptype="general">개인정보위는 지난 26일 전체회의를 열고 개인정보보호 법규를 위반한 NHN위투에 대해 과징금 6110만원과 과태료 960만 원을 부과하고 이와 관련한 공표 명령을 결정했다고 27일 밝혔다.</p> <p contents-hash="ffaebde117634df8ede2b78867228217c959165ae874eb9c5f8b2fcfda215b2f" dmcf-pid="Zl5i8hval9" dmcf-ptype="general">앞서 NHN위투는 자사 쇼핑몰 '가방팝'에 입점한 판매자용 시스템이 해커의 '에스큐엘(SQL) 인젝션' 공격을 받았고, 이로 인해 53만4903건의 판매자·고객의 개인정보가 유출됐다. 유출된 개인정보에는 회원의 주민등록번호도 포함됐다.</p> <p contents-hash="69c5d47474e4af4b19b7c83cc3b1b84b2edbf60f1fe290c43d3db493145373dc" dmcf-pid="5S1n6lTNWK" dmcf-ptype="general">SQL 인젝션 공격은 악의적인 SQL문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법을 말한다.</p> <p contents-hash="d7d1fa2c0942d9fb182f8b4e44210c97e2007024f3ee8efdf90754835d1dccce" dmcf-pid="1vtLPSyjlb" dmcf-ptype="general">개인정보위 조사 결과 2022년 7월 NHN위투는 시스템을 개편하면서 과거 거래내역 조회·고객응대 등을 위해 기존 판매자 시스템도 함께 운영했는데, 이 기존 시스템에 SQL 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았다. </p> <p contents-hash="a0e8814a2b919b70322d93f1e29095d457067c19e884caa08555bc6845b6c962" dmcf-pid="tTFoQvWAyB" dmcf-ptype="general">또한 웹방화벽을 비활성화한 상태로 운영해 개인정보가 유출됐다고 개인정보위는 지적했다. </p> <p contents-hash="2c47be49a203276bd082f432af1b22e33b1430173bc1e3f831945a5b5c8591b6" dmcf-pid="Fy3gxTYchq" dmcf-ptype="general">아울러 NHN위투는 2013년 2월 기존 판매자 시스템의 구 데이터베이스(DB)를 현행 DB로 이관하면서 개인정보 처리 목적이 달성된 구 DB를 파기하지 않았는데, 여기에는 법상 파기 대상인 주민등록번호가 계속 보관된 사실도 확인됐다.</p> <p contents-hash="ce93c7f49dca2169c582363ec91f5bf29422378c7990cee33df6ebdf571cdb76" dmcf-pid="3VdGI241vz" dmcf-ptype="general">이날 개인정보위는 개인정보 17만9386건이 유출된 비즈니스온커뮤니케이션에 대해서도 과징금 1억3700만원과 과태료 270만원을 부과하고 시정·공표 명령을 결정했다.</p> <p contents-hash="28287871cdbf5971c2a1477ce6826b806e92ecaab5e7738ec74c2be59db25d6d" dmcf-pid="0fJHCV8th7" dmcf-ptype="general">비즈니스온커뮤니케이션은 SQL 인젝션 공격으로 자사 온라인 전자세금계산서 발행 서비스 '스마트빌'의 회원정보 17만9386건이 유출됐다. 유출된 개인정보는 이름과 아이디, 비밀번호, 이메일, 연락처 등에 달한다.</p> <p contents-hash="06b4c8c8dc992a8e0c3590aee0e96a34f88495b2ca2ef15a2a9430cf54d00732" dmcf-pid="p4iXhf6FSu" dmcf-ptype="general">조사 결과, 비즈니스온커뮤니케이션은 SQL 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 시스템 접속권한을 아이피(IP) 주소 등으로 제한하지 않았다. 이로 인해 개인정보가 유출됐고, 심지어 유출신고도 지연했다.</p> <p contents-hash="8f33c1eaaffcb3ba6ec95289158da03014ddff5bf217a61e2016ea9ed568e481" dmcf-pid="U8nZl4P3TU" dmcf-ptype="general">개인정보위 관계자는 "유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검하고, 시스템 개선 등으로 불필요한 개인정보가 포함돼 있는지 점검해 파기되도록 해야 한다"고 당부했다.</p> <p contents-hash="c7e1b72b4f216e9975acd1f1a62867ad3830731daeb067b4cebd5d270a63521e" dmcf-pid="u6L5S8Q0yp" dmcf-ptype="general">김동훈 (99re@bizwatch.co.kr)</p> <p contents-hash="d25c454a91d3f98801e2114bba894db742510cc5e46e43a8f046b29f2414b8a7" dmcf-pid="7Po1v6xpy0" dmcf-ptype="general">ⓒ비즈니스워치의 소중한 저작물입니다. 무단전재와 재배포를 금합니다.</p> </section> </div> <p class="" data-translation="true">Copyright © 비즈워치. 무단전재 및 재배포 금지.</p> 관련자료 이전 '에스파 여동생' 하츠투하츠, '엠카'서 신고식...카리나만큼 예쁘네 02-27 다음 "올해 AI PC 대중화...아·태 시장 5% 성장 전망" 02-27 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.