세계일보

등산용품 기업인 블랙야크가 해킹을 당해 고객 개인정보 수십만건을 유출했다가 13억원대 과징금을 물게 됐다.

개인정보보호위원회는 9일 전체회의를 열어 개인정보보호법을 위반한 ㈜비와이엔블랙야크(블랙야크)에 과징금 13억9천100만원을 부과하고, 이를 공표하도록 명령했다고 10일 밝혔다.

개인정보위에 따르면 해커는 올해 3월 1∼4일 블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도해 관리자 계정 정보(아이디·비밀번호)를 빼냈다. 이어 탈취한 계정 정보로 관리자 페이지에 로그인한 뒤 34만2천53명의 개인정보를 빼내 간 것으로 파악됐다.

해커가 탈취한 이용자 개인정보는 이름과 성별, 생년월일, 휴대전화 번호, 주소 일부 등이다.

조사결과 블랙야크는 자사 웹사이트를 개설한 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했다.

특히 재택근무 등으로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았다.

개인정보위는 "디지털 전환 가속화로 재택근무 등이 많아지며 외부 접속을 허용하는 사례가 크게 늘고 있다"며 "권한 있는 사용자인지를 판별하기 위해 아이디·비밀번호 외 안전한 추가적 인증수단의 적용이 어느 때보다 중요하다"고 당부했다.

개인정보위는 블랙야크와 유사한 SQL 삽입 해킹 공격을 받아 이용자 8만4천85명의 개인정보를 유출한 온라인 교육콘텐츠 업체 한국토픽교육센터에도 과징금 2천300만원과 과태료 270만원을 부과했다. 처분내용 공표도 명령했다.

이 업체는 보안 취약점 점검·조치를 소홀히 했고, 정보 유출 사실을 알고도 정당한 사유 없이 72시간이 지난 뒤에야 유출 사실을 통지한 것으로 파악됐다.

<연합>

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]