개인정보위, 안전조치 의무를 위반한 2개 사업자 제재

- 데이터베이스 명령어 삽입 공격, 관리자 권한 확인 절차 누락 등 널리 알려진 웹 취약점에 대해서도 지속적 주의 당부

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 6월 25일(수) 제14회 전체회의를 열고, 개인정보 보호 법규를 위반한 2개 사업자*에 대해 총 1억 3,720만 원의 과징금 및 1,320만 원의 과태료를 부과하기로 의결하였다.

   * ① (재)한국인정지원센터 : 경영시스템 인증기관 인정평가, 품질평가자 교육 등을 수행하는 비영리법인

     ② TELUS International AI, Ltd. : 캐나다 통신 기업 TELUS의 자회사로, 기업 고객 대상 인공지능(AI) 학습데이터 관련 프로젝트를 지원하는 글로벌 기업

  이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다.

  < (재)한국인정지원센터 : 과징금 5,520만 원과 과태료 600만 원 부과, 결과 공표 >

  (재)한국인정지원센터는 깃허브, 텔레그램에 자사 홈페이지 회원의 개인정보가 공개된 사실을 확인하고, 개인정보위에 유출사실을 신고('23.1.)하였다. 확인 결과 신원미상의 자(이하 '해커')가 데이터베이스 명령어(SQL) 삽입 공격*으로 홈페이지 회원 21,234명의 개인정보**를 유출한 것이다.

   * 데이터베이스 명령어(SQL, Structured Query Language) 삽입 공격 : 사용자가 입력한 데이터를 검증 없이 처리하는 취약점을 이용해 악의적인 데이터베이스 명령문을 삽입·실행하여 데이터베이스를 비정상적으로 조작하는 공격

  ** 이름, 아이디, 비밀번호, 휴대폰번호, 주소, 생년월일, 주민등록번호 등 

  조사 결과, (재)한국인정지원센터는 홈페이지 게시판 등에 이용자가 입력하는 정보에 대한 검증 절차가 없어 데이터베이스 명령어 삽입 공격을 막지 못한 것으로 확인되었다. 아울러 관리자가 홈페이지에 접속할 때 일회용 비밀번호와 같은 안전한 인증수단을 적용하지 않았다. 

  또한, 2001년부터 2014년까지 수집한 회원의 주민등록번호를 파기하지 않고 계속 보관하다 이번에 같이 유출되었다. (재)한국인정지원센터처럼 법령상 근거가 없는 경우에는 주민등록번호를 수집·이용할 수 없고, 2014년 주민등록번호 법정주의가 시행되면서 이미 수집한 주민등록번호를 2016년까지 파기했어야 했다.

   * (구)보호법상 주민등록번호 법정주의 시행일('14.8.7.)로부터 2년 내 파기

  이에 개인정보위는 (재)한국인정지원센터에 과징금 5,520만 원과 과태료 600만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 하였다.

  < TELUS International AI Ltd.(이하 '텔루스') : 과징금 8,200만 원과 과태료 720만 원 부과 >

  텔루스는 인공지능(AI) 학습데이터를 생성, 평가할 수 있는 지원자를 모집해 기업 고객의 프로젝트를 지원하는 플랫폼 운영회사이다. 텔루스가 지원자를 모집·관리하는 플랫폼이 2023년 해킹되어 한국 정보주체 13,622명의, 전 세계에서는 약 68만 명의 개인정보가 유출되었다.

  조사 결과, 텔루스는 플랫폼 기능 개선과정에서 보안취약점 점검을 소홀히 하였다. 그 결과, 관리자 권한을 확인하는 절차가 누락*되어 해커가 일반 이용자로 로그인한 후 전체 이용자의 데이터에 접근할 수 있었다. 

   * 접근 제어 오류(Broken Access Control) : 허용된 권한 내에서만 정보 등에 접근 가능하도록 하여야 하나, 접근 제어 미흡으로 사용자가 자신의 권한 이상으로 접근가능한 보안 취약점 

  또한, 텔루스는 개인정보 유출을 인지('23.11.2.)하였음에도 정당한 사유 없이 72시간을 경과하여 유출 신고('23.11.14.)하고, 이용자에게 개별 통지('23.12.8.)를 늦게 한 사실도 확인되었다.

  이에 따라 개인정보위는 텔루스에 과징금 8,200만 원과 과태료 720만 원을 부과하기로 하였다.

  < 이번 조사·처분의 의의 >

  개인정보를 처리하는 사업자는 서비스 개발·운영 시 주기적으로 보안 취약점을 점검·개선하여야 한다. 특히, 데이터베이스 명령어 삽입 공격이나 관리자만 접근 가능한 정보에 대한 권한 확인을 누락하는 등 잘 알려진 웹 보안 취약점을 예방하기 위한 조치와 지속적인 주의가 필요하다고 개인정보위는 당부했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사1과 신혜영(02-2100-3120), 도혜원(02-2100-3117)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”

'텍스트'에 한하여 공공누리 출처표시의 조건에 따라 자유이용이 가능합니다.

단, 사진, 이미지, 일러스트, 동영상 등의 일부 자료는 문화체육관광부가 저작권 전부를 보유하고 있지 아니하므로, 반드시 해당 저작권자의 허락을 받으셔야 합니다.

저작권정책 담당자안내

정책브리핑 공공누리 담당자 안내

문의처 : 문화체육관광부 정책포털과

문화체육관광부 정책포털과 공공누리 담당자

뉴스	정책뉴스, 정책칼럼, 뉴스인사이트 등 044-203-3048 국민이 말하는 정책 044-203-3254
멀티미디어	영상, 숏폼 044-203-3049 카드/한컷 044-203-3261 사진 044-203-3054 웹툰 044-203-3049
브리핑룸	보도자료 044-203-3054 사실은 이렇습니다 044-203-3048 브리핑자료 044-203-3054 연설문 044-203-3054
정책자료	국정신문 044-203-3046
정부기관 SNS	소통채널(SNS) 044-203-3046

※ 브리핑룸 보도자료는 각 부·처·기관으로부터 연계로 자동유입되는 자료로 보도자료에 포함된 연락처로 문의
※ 전문자료와 전자책의 이용은 각 자료를 발간한 해당 부처로 문의

국가법령정보센터 저작권법 바로가기 공공누리 유형안내 바로가기

닫기

기사 이용 시에는 출처를 반드시 표기해야 하며, 위반 시

저작권법 제37조

제37조(출처의 명시)

① 이 관에 따라 저작물을 이용하는 자는 그 출처를 명시하여야 한다. 다만, 제26조, 제29조부터 제32조까지,
제34조 및 제35조의2의 경우에는 그러하지 아니하다. <개정 2011. 12. 2.>

② 출처의 명시는 저작물의 이용 상황에 따라 합리적이라고 인정되는 방법으로 하여야 하며, 저작자의 실명
또는 이명이 표시된 저작물인 경우에는 그 실명 또는 이명을 명시하여야 한다.

닫기

및

제138조

제138조(벌칙)

다음 각 호의 어느 하나에 해당하는 자는 500만원 이하의 벌금에 처한다. <개정 2011. 12. 2.>

1. 제35조제4항을 위반한 자

2. 제37조(제87조 및 제94조에 따라 준용되는 경우를 포함한다)를 위반하여 출처를 명시하지 아니한 자

3. 제58조제3항(제63조의2, 제88조 및 제96조에 따라 준용되는 경우를 포함한다)을 위반하여 저작재산권자의 표지를 하지 아니한 자

4. 제58조의2제2항(제63조의2, 제88조 및 제96조에 따라 준용되는 경우를 포함한다)을 위반하여 저작자에게 알리지 아니한 자

5. 제105조제1항에 따른 신고를 하지 아니하고 저작권대리중개업을 하거나, 제109조제2항에 따른 영업의 폐쇄명령을 받고 계속 그 영업을 한 자 [제목개정 2011. 12. 2.]

닫기

에 따라 처벌될 수 있습니다.

<자료출처=정책브리핑 www.korea.kr>