개인정보위, 네오팜·일학에 과징금 제재
네오팜·일학, 안전조치 의무 위반…이용자 개인정보 유출
과징금 총 1억2317만원, 과태료 1080만원 부과
[서울=뉴시스] 정병혁 기자 = 고학수 개인정보보호위원회 위원장이 23일 오후 서울 종로구 정부서울청사에서 열린 2024년 제17회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.(사진=개인정보보호위원회 제공) 2024.10.23. [email protected] *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 화장품 온라인 쇼핑몰 운영사 네오팜, 낚시용품 온라인 쇼핑몰 운영사 일학이 개인정보보호 법규를 위반해 과징금을 물게 됐다.
24일 개인정보보호위원회는 이들 사업자에 대해 과징금 총 1억2317만원과 과태료 1080만원을 부과한다고 밝혔다. 네오팜이 과징금 1억517만원과 과태료 720만원, 일학이 과징금 1800만원과 과태료 360만원을 각각 처분받았다.
개인정보위 조사결과, 해커는 사전에 획득한 네오팜 관리자 계정 정보로 쇼핑몰 웹 관리자 페이지에 접속해 쇼핑몰 전체 회원인 29만3723명의 개인정보를 탈취했다. 특히 해커는 약 2주 동안 쇼핑몰 웹 관리자 페이지에 750여회 접근해 회원정보를 조회하고 내려받았으며, 약 44만건의 불법 문자도 발송했다.
개인정보위는 네오팜이 웹 관리자 페이지를 추가 인증수단 없이, 아이디와 비밀번호만으로 로그인이 가능하게 운영하고 있었고 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등을 제한하지 않는 등 안전조치의무를 위반했다고 설명했다.
아울러 개인정보취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리도 소홀한 사실과, 유출된 이용자 대상으로 개인정보 유출 통지를 지연한 사실도 확인했다고 덧붙였다.
일학은 지난해 12월 17일부터 이틀간 해커로부터 웹사이트 취약점을 악용한 에스큐엘(SQL) 삽입 공격을 받아 개인정보가 유출됐다. 해커는 일학의 쇼핑몰 게시판에 1만명의 개인정보를 게시하기도 했다.
개인정보위 조사결과 일학은 온라인 쇼핑몰을 운영하면서 웹 관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실했던 것으로 확인됐다.
아울러, 에스큐엘(SQL) 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치의무도 위반한 것으로 확인됐다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지