개인정보보호위원회는 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 1억원대의 과징금을 부과했다고 12일 밝혔다.
개인정보위는 전날 열린 전체회의에서 머크, 온플랫, 디알플러스 등 3개 사업자에 대해 총 1억1242만원의 과징금 및 1440만원의 과태료를 부과하고 시정명령 및 결과공표를 의결했다.
머크는 제조‧판매하는 의약품에 대한 투약기록 관리 등 신규 서비스를 출시했으나 시스템 오류로 최대 108명의 개인정보가 유출됐다. 조사 결과, 머크의 해당 서비스 이용자는 동일인으로 처리돼 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있었다.
머크는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실도 확인됐다. 이에 개인정보위는 과징금 8000만원과 과태료 600만원을 부과하고 처분받은 사실을 개인정보위 홈페이지에 공표한다.
개인정보위는 온플랫에 대한 조사과정 중 동일한 해킹 공격으로 같은 대표자가 운영 중인 디알플러스도 유출됐다는 사실을 인지해 함께 조사를 진행했다. 온플랫과 디알플러스는 각각 최소 80명, 98명의 결제내역 등 개인정보가 유출된 것으로 확인됐다. 해킹 방식은 에스큐엘(SQL) 삽입 공격이다.
SQL 삽입 공격은 웹사이트의 취약점을 이용해 악의적인 SQL문을 실행해 데이터베이스를 비정상적으로 조작하는 기법이다.
온플랫은 SQL 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않았다. 양사 모두 외부에서 개인정보처리시스템에 접속하는 경우 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았다. 또 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관하지 않은 것으로 밝혀졌다.
디알플러스는 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장했으며 개인정보 유출 신고 및 통지를 지연했다.
이에 개인정보위는 디알플러스에 과징금 3242만원과 과태료 840만원을 부과하고 처분받은 사실을 개인정보위 홈페이지에 공표한다. 온플랫도 시정명령과 함께 처분받은 사실을 개인정보위 홈페이지에 공표한다.
개인정보위는 개인정보를 처리하는 사업자는 신규 서비스 출시 전 보안 취약점 점검을 철저히 하고 SQL 삽입 공격처럼 널리 알려진 웹 취약점 공격을 예방하기 위한 적절한 보안 조치 등 지속적인 주의가 필요하다고 당부했다.
