개인정보위, 안전조치 의무 위반 2개 사업자 제재

- 관리자 계정 탈취에 따른 유출 사고가 증가하고 있어, 관리자 페이지 접근 IP 주소 제한, 다중 인증 등 주의 당부

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 11월 26일(목) 제24회 전체회의를 열고, 개인정보 보호 법규를 위반한 2개 사업자*에 대해 총 1억 8,820만 원의 과징금 및 780만 원의 과태료를 부과하고, 해당 사업자 홈페이지에 결과를 공표할 것을 의결하였다.

   * ㈜하스, ㈜바텍엠시스 : 의료기기 제조·판매 서비스 운영

  이들 사업자는 모두 개인정보처리시스템(이하 '관리자 페이지') 관리자 계정이 탈취되어 회원 정보가 유출되었으며, 구체적인 위반 내용과 처분 결과는 다음과 같다.

< ㈜하스 : 과징금 1억 3,300만 원, 과태료 780만 원 부과 및 공표 명령 >

  신원 미상의 자(이하 '해커')가 ㈜하스의 관리자 계정을 획득하여 관리자 페이지에 접속하였고, 733명의 개인정보(이름, 이메일, 휴대폰 번호, 직장명, 직업 등)를 탈취하여 다크웹에 게시하였다.

  조사결과, ㈜하스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고, 관리자 페이지에 대한 접속기록을 보관하지 않은 사실이 확인되었다. 또한, 이용자의 개인정보가 다크웹에 게시된 사실을 한국인터넷진흥원으로부터 여러차례 전달받았음에도 유출 신고 및 통지 등 관련 조치를 지연한 사실도 확인되었다.

  이에 따라 개인정보위는 ㈜하스에 과징금 1억 3,300만 원, 과태료 780만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령하였다.

< ㈜바텍엠시스 : 과징금 5,520만 원 부과 및 공표 명령 >

  해커가 (주)바텍엠시스의 관리자 계정을 획득하여 관리자 페이지에 접속 후, 9,637명의 개인정보(아이디, 이름, 이메일, 생년월일, 휴대폰 번호, 주소, 성별 등)를 다운로드 받아 유출하였다. 

  조사결과, (주)바텍엠시스는 다수의 개인정보취급자가 관리자 권한이 부여된 하나의 계정을 공유하며 사용하였고, 외부에서 관리자 페이지에 접속을 허용하면서도 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았으며, 관리자 페이지의 접속기록 점검을 소홀히 한 사실이 확인되었다.

  이에 따라 개인정보위는 ㈜바텍엠시스는 과징금 5,520만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령하였다.

< 이번 조사·처분의 의의 >

  관리자 페이지 비정상 접속에 의한 사고는 유출(해킹) 신고 유형 중 가장 높은 비중*을 차지하고 있다. 다수의 개인정보를 조회·다운로드 등 처리 할 수 있는 관리자 페이지가 해킹될 경우 대규모 개인정보 유출로 이어질 위험이 상당하므로, 개인정보처리자는 관리자 페이지에 대한 접속 권한을 IP 주소 등으로 제한하여야 하며, 외부에서 접속이 필요한 경우에는 아이디, 비밀번호 외 추가 인증 수단(일회용 비밀번호(OTP), 인증서, 보안토큰 등) 적용이 필수적이다. 

   * '24년 유출 신고 중, 해킹 세부 원인은 관리자 페이지 비정상 접속, SQL 삽입공격 순

  또한, 불필요한 관리자 권한 부여를 자제하고, 계정 공유를 금지하는 등 관리자 계정에 대한 철저한 관리와 정기적인 웹 취약점 점검 및 최신 보안 패치를 적용하는 등 지속적인 노력이 필요하다.

  개인정보위는 이번 조사 결과를 바탕으로 '관리자 페이지를 통한 개인정보 유출 예방 방안'을 관련 협회·단체(CPO 협의회, 자율규제단체 등)와 공유하고, 지속적으로 안내할 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 조근환(02-2100-3124)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”