코다스디자인·스피드옥션에 과징금 2억2천343만원·과태료 1천440만원
개인정보위, '해킹 무방비' 안전조치 의무 위반 업체 2곳 제재
개인정보보호위원회는 13일 열린 전체 회의에서 개인정보보호 법규를 위반한 2개 사업자에 대해 총 2억2천343만원의 과징금과 1천440만원의 과태료를 부과하기로 의결했다고 14일 밝혔다.

개인정보위 조사결과에 따르면 사업자 2곳 모두 '개인정보 보호법'에 따른 안전 조치 의무와 개인정보 유출 통지·신고 의무를 위반했다가 제재를 받게 됐다.

가구 제작·판매 웹사이트를 운영하는 코다스디자인은 해커의 SQL 인젝션(데이터베이스 조회 등을 위해 사용하는 프로그램 언어) 공격으로 이용자 3만8천209명의 개인정보가 유출됐다.

해킹 공격을 당한 웹 사이트의 입력값 검증 등 보안 취약점에 대한 점검·조치 등 안전조치 의무를 제대로 지키지 않았다가 과징금 2억259만원과 과태료 660만원을 부과받았다.

부동산 경매정보 제공 웹사이트 운영자인 스피드옥션은 해커가 웹사이트 보안 취약점을 이용해 웹셸(악성코드)을 업로드하고 데이터베이스(DB)에 접근해 이용자의 개인정보를 유출한 경우다.

웹사이트에 대한 웹셸 공격을 예방하는 기본 조치인 파일 업로드 확장자 및 실행권한 제한 등 보안 취약점 조치, DB에 대한 접근 권한을 아이피(IP) 주소로 제한하는 등 안전조치 의무를 준수하지 않은 사실이 확인돼 과징금 2천84만원, 과태료 780만원을 물게 됐다.

개인정보위는 "인터넷 웹사이트를 운영하는 사업자는 주기적으로 웹 보안 취약점을 점검하고 조치해야 하며, 특히 SQL 인젝션이나 웹셸 공격은 잘 알려진 웹 취약점 공격으로 파괴력이 매우 커 DB 보안 등에 각별한 주의·예방이 필요하다"고 당부했다.

/연합뉴스