'해킹으로 회원 30만명 정보 유출' 네오팜, 1억원 과징금 부과

개인정보위 의결…과태료 720만원
낚시쇼핑몰 일학도 1800만원 과징금


쇼핑몰 해킹으로 약 30만 명의 개인정보가 유출된 네오팜(092730)이 1억 원대의 과징금을 내게 됐다.


개인정보보호위원회는 23일 전체회의를 열고 개인정보보호 법규를 위반한 네오팜에 대해 과징금 1억 517만 원과 과태료 720만 원을 부과하기로 의결했다고 24일 밝혔다.


개인정보위 조사에 따르면 네오팜은 지난해 8월 해커의 해킹 공격을 받고 쇼핑몰 전체 회원인 29만 3723명의 개인정보가 유출됐다. 해커는 지난해 8월 5일부터 약 2주 간 쇼핑몰 웹 관리자 페이지에 750여 회 접근해 회원정보를 조회하고 내려받았다. 불법으로 빼낸 회원 연락처를 통해 약 44만 건의 불법 문자도 발송했다.


개인정보위는 네오팜이 개인정보처리 시스템인 웹 관리자 페이지에서 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인이 가능하도록 해 안전조치의무를 위반했다고 판단했다. 또 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등도 제한하지 않았다.


네오팜은 개인정보취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리도 소홀했다. 유출된 이용자 대상으로 개인정보 유출 통지를 지연한 사실도 확인됐다.


개인정보위는 마찬가지로 해킹으로 낚시용품 쇼핑몰 회원의 개인정보가 유출된 일학에 대해서도 과징금 1800만 원과 과태료 360만 원을 부과했다. 일학은 지난해 12월 해커의 에스큐엘(SQL) 삽입 공격을 받아 개인정보가 유출됐다. SQL 삽입 공격은 웹사이트의 취약점을 이용해 데이터베이스 조회 등을 위해 사용하는 프로그램 언어인 SQL문을 실행되게 하는 공격 기법이다.


조사 결과 일학은 웹 관리자 페이지 로그인 시 안전한 인증수단을 적용하지 않았고 해킹 방지를 위한 침입 탐지·차단 시스템 운영도 부실했다. 비밀번호 암호화 미조치 등 안전조치의무 위반도 확인됐다.


개인정보위는 “웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다”며 “SQL 삽입 공격처럼 잘 알려진 웹 취약점 공격에 대해서는 적절한 보안조치 등 지속적인 주의가 필요하다”고 전했다.


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>