[디지털데일리 최민지기자] 개인정보보호위원회가 에스큐엘(SQL) 인젝션 공격을 받아 회원정보가 유출된 2개 사업자를 제재했다.

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 지난 26일 전체회의를 열고, 개인정보보호 법규를 위반한 ‘비즈니스온커뮤니케이션’ ‘엔에이치엔위투’에게 총 1억9810만원 과징금과 1230만원 과태료를 부과하고 시정명령과 공표명령을 하기로 의결했다.

온라인 전자세금계산서 발생 ‘스마트빌’ 서비스를 운영하는 비즈니스온커뮤니케이션은 과징금 1억3700만원과 과태료 270만원 등을 부과받았다. 비즈니스온커뮤니케이션은 해커에게 스마트빌 서비스 회원정보 17만9386건을 유출당했다.

조사 결과, 비즈니스온커뮤니케이션은 SQL인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 시스템 접속권한을 아이피(IP) 주소 등으로 제한하지 않아 개인정보가 유출된 것으로 밝혀졌다. 또한 유출신고를 지연한 사실도 확인했다.

SQL(Structured Query Language) 인젝션 공격은 악의적인 에스큐엘(SQL)문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법을 뜻한다.

패션분야 오픈마켓 ‘가방팝’ 서비스를 운영하는 엔에이치엔위투는 과징금 6110만원과 과태료 960만원 등을 부과받았다.

가방팝 쇼핑몰에 입점한 판매자를 위한 ‘판매자시스템’이 해커의 SQL인젝션 공격을 받았고, 이로 인해 해당 시스템에서 보유한 53만4903건 판매자‧고객 개인정보가 유출됐다. 유출된 정보에는 회원 주민등록번호도 포함됐다.

엔에이치엔위투는 2022년 7월 시스템을 개편하면서 과거 거래내역 조회 및 고객응대 등을 위해 기존 판매자시스템도 함께 계속 운영해 왔다. 이 기존 시스템에 SQL인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고 웹방화벽을 비활성화한 상태로 운영해 개인정보가 유출됐다. 또한, 2013년 2월 기존 판매자시스템의 데이터베이스(DB)를 현행 DB로 이관하면서 개인정보 처리 목적이 달성된 옛 DB를 파기하지 않았다. 여기에는 법상 파기 대상인 주민등록번호가 계속 보관돼 있었다.

개인정보위는 “개인정보처리자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검하고, 시스템 개선 등으로 불필요한 개인정보가 포함돼 있는지 점검해 파기되도록 해야 한다”고 말했다. 이어 “개인정보처리자가 SQL 인젝션 공격을 예방하기 위해 한국인터넷진흥원(KISA)에서 제공하는 소프트웨어 보안약점 진단 가이드 등 가이드라인을 참고하고, 필요하다면 보안취약점 점검 서비스도 활용할 것”이라고 덧붙였다.