개인정보위, '안전조치 미흡' 온라인 쇼핑몰 네오팜·일학에 과징금

지난 23일 제17회 전체회의서 의결
웹 관리자 페이지 주기적 점검 등 당부
  • 등록 2024-10-24 오후 12:00:00

    수정 2024-10-24 오후 12:00:00

[이데일리 최연두 기자] 개인정보보호위원회는 지난 23일 열린 제17회 전체회의에서 개인정보보호법을 위반한 화장품 판매 웹사이트 운영사 네오팜에 과징금 1억 517만 원과 과태료 720만 원 부과하기로 의결했다고 밝혔다.

서울 종로에 위치한 정부서울청사 내 개인정보보호위원회 현판(사진=개인정보위)


개인정보위 조사 결과, 해커는 사전에 획득한 네오팜의 쇼핑몰 관리자 계정 정보를 통해 쇼핑몰의 웹 관리자 페이지에 접속해 쇼핑몰 전체 회원인 29만3723명의 개인정보를 탈취했다. 특히 해커는 지난해 8월5일부터 약 2주 동안 쇼핑몰 웹 관리자 페이지에 750여 회 접근해 회원정보를 조회하고 내려받고 약 44만 건의 불법 문자를 발송했다.

이러한 유출 사고가 발생한 원인에 대해 개인정보위 측은 네오팜의 개인정보 처리 시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인이 가능하게 운영된 점을 언급했다. 또한, 웹 관리자 페이지에 접속할 수 있는 인터넷 프로토콜(IP) 주소 등을 제한하지 않는 등 안전조치 의무를 위반했기 때문이라고 지적했다.

이와 함께 네오팜이 개인정보 취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근 권한에 대한 관리도 소홀히 했고, 유출된 이용자 대상으로 개인정보 유출 통지를 지연한 사실도 확인됐다.

개인정보위는 전날 전체회의에서 낚시용품 판매 웹사이트 운영사인 일학을 대상으로 과징금 1800만 원·과태료 360만 원 부과 제재도 의결했다.

일학은 작년 12월17일부터 이틀간 해커의 에스큐엘(SQL) 삽입 공격을 받아 개인정보가 유출됐는데, 개인정보를 유출한 해커는 일학의 쇼핑몰 게시판에 1만 명의 개인정보를 게시하기도 했다.

개인정보위에 따르면 일학은 낚시용품 쇼핑몰을 운영하면서 웹 관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실했던 것으로 확인됐다.

아울러 SQL 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치 의무도 위반한 것으로 확인됐다.

개인정보위 관계자는 “웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스(DB)와 연동된 웹 관리자 페이지 운영 시 개인정보 취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다”며 “SQL 삽입 공격처럼 잘 알려진 웹 취약점 공격에 대해서는 적절한 보안조치 등 지속적인 주의가 필요하다”고 강조했다.

이데일리
추천 뉴스by Taboola

당신을 위한
맞춤 뉴스by Dable

소셜 댓글

많이 본 뉴스

바이오 투자 길라잡이 팜이데일리

왼쪽 오른쪽

스무살의 설레임 스냅타임

왼쪽 오른쪽

재미에 지식을 더하다 영상+

왼쪽 오른쪽

두근두근 핫포토

  • 이즈나, 혼신의 무대
  • 만화 찢고 나온 미모
  • MAMA 여신
  • 지드래곤 스카프 ‘파워’
왼쪽 오른쪽

04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리

대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.krI 사업자번호 107-81-75795

등록번호 서울 아 00090 I 등록일자 2005.10.25 I 회장 곽재선 I 발행·편집인 이익원 I 청소년보호책임자 고규대

ⓒ 이데일리. All rights reserved