안전조치 의무 위반 3개 사업자 제재

- 다량의 개인정보 탈취가 가능한 SQL 삽입 공격으로 개인정보 유출

- 개인정보위, 예방을 위한 이용 수칙 제시 및 자체점검 안내

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 11월 20일(목) 제23회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자*에 대해 총 1억 7,760만 원의 과징금 및 540만 원의 과태료를 부과하고, 그 결과를 공표할 것을 의결하였다.

   * ㈜이젠 : 온라인 교육콘텐츠 서비스 운영 / ㈜더존하우징 : 건축 전문 업체로 건축 설계 상담·문의 홈페이지 운영 / ㈜레저플러스 : 골프장 예약 플랫폼 서비스 운영  

  이들 3개 사업자는 모두 에스큐엘(이하 'SQL') 삽입 공격*으로 회원 정보가 유출되었으며, 구체적인 위반 내용과 처분 결과는 다음과 같다.

  * 에스큐엘(SQL, Structured Query Language) 삽입 공격 : 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법

< ㈜이젠 : 과징금 6,060만 원과 과태료 540만 원 부과 및 공표 명령 >

  ㈜이젠은 3년간('21.8 ~ '24.8) 홈페이지 대상 SQL 삽입 공격으로 회원 69,930명의 개인정보(성명, 전화번호, 이메일 등)가 유출되어 텔레그램에 게시되었고, 이중 35,454명은 암호화되지 않은 주민등록번호가 유출되었다.

  조사결과, ㈜이젠은 SQL 삽입 공격에 대한 취약점 점검·조치 및 개인정보 유출 시도 탐지·차단을 소홀히 한 사실이 있으며, 주민등록번호 암호화 조치 미흡, 개인정보 유출통지 및 신고를 지연한 사실도 확인되었다.

< ㈜더존하우징 : 과징금 5,580만 원 부과 및 공표 명령 >

  ㈜더존하우징은 '23.12월 해커의 SQL 삽입 공격으로 회원 33,879명의 개인정보(아이디, 비밀번호, 이름, 전화번호 등)가 유출되어 텔레그렘에 게시되었다.

  조사결과, ㈜더존하우징은 SQL 삽입 공격을 사전에 탐지·차단하는 시스템을 운영하지 않고 취약점에 대한 점검·조치를 미흡하게 한 사실이 확인되었으며, 회원 비밀번호에 대한 암호화 조치 미흡, 데이터베이스(DB) 접속기록 관리 소홀 등도 추가로 확인되었다.

< ㈜레저플러스 : 과징금 6,120만 원 부과 및 공표 명령 >

  ㈜레저플러스는 두 차례에 걸친 SQL 삽입 공격('24.9, '24.10)으로 회원 160,807명의 개인정보(고객명, 휴대폰번호, 비밀번호 등)가 유출되었다.

  조사결과, ㈜레저플러스는 SQL 삽입 공격 취약점 관리를 소홀히 하였고 개인정보 유출 시도를 사전에 탐지하지 못한 것이 확인되었다. 또한, 회원 비밀번호에 대한 암호화 조치가 미흡했던 것으로 확인되었다.

< 이번 조사·처분의 의의 >

  SQL 삽입 공격은 매우 잘 알려진 웹 취약점 공격 방식으로, 많은 정보가 저장된 DB가 직접 공격받는다는 점에서 대량의 개인정보 유출로 이어질 위험성이 높아, 예방을 위한 사업자의 특별한 주의가 당부 된다.

  ※ '25년 위원회에서 처분된 SQL 삽입 공격을 통한 유출 사건(7건) 평균 유출 규모 약 21만 건 

  개인정보위는 이번 조사 결과를 바탕으로 사업자 대상 SQL 삽입 공격 예방 수칙을 마련·제공하고, 자체적으로 점검할 수 있도록 지속적으로 안내할 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 장석인(02-2100-3157)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”