회원 29만명 개인정보 털린 네오팜…과징금 1.7억원 부과

실시간
뉴스

보안

회원 29만명 개인정보 털린 네오팜…과징금 1.7억원 부과

디지털데일리 발행일 2024-10-24 12:00:00

김보민 기자

URL복사

[디지털데일리 김보민기자] 회원 29만명의 개인정보가 유출된 네오팜을 대상으로 1억원대 과징금이 부과됐다.

개인정보보호위원회(이하 개인정보위)는 개인정보보호 법규를 위반한 네오팜에 과징금 1억517만원과 과태료 720만원을 부과하기로 의결했다고 24일 밝혔다.

조사 결과, 해커는 네오팜이 운영 중인 쇼핑몰 관리자 계정 정보를 사전에 획득했다. 이후 쇼핑몰 웹 관리자 페이지에 접속해, 전체 회원 29만3723명의 개인정보를 탈취했다. 지난 지난해 8월5일부터 약 2주 동안 웹 관리자 페이지에 약 750회 접근해 회원정보를 조회했고, 44만건의 불법 문자를 발송한 정황이 파악됐다.

개인정보위는 대규모 유출 사고가 발생한 배경으로 개인정보처리시스템인 웹 관리자 페이지 내 취약점을 지적했다. 추가 인증 수단 없이 아이디와 비밀번호만으로 로그인이 가능하게 운영되고 있었고, 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소를 제한하지 않아 안전조치 의무를 위반했다.

또한 개인정보 취급자별로 계정을 부여하지 않고, 부서별로 계정을 공유하는 등 접근 권한에 대한 관리도 소홀한 것으로 파악됐다. 유출된 이용자를 대상으로 개인정보 유출 통지를 지연한 사실도 확인됐다.

한편 개인정보위는 개인정보보호 법규를 위반한 일학에게도 과징금 1800만원과 과태료 360만원을 부과하기로 했다. 일학은 지난해 12월부터 이틀간 해커 에스큐엘(SQL) 삽입 공격을 받아 개인정보가 유출됐다. SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적인 프로그램 언어를 실행되게 해, 데이터베이스(DB)를 비정상적으로 조작하는 위협 기법이다.

조사 결과 일학은 낚시 용품 쇼핑몰을 운영하면서, 웹 관리자 페이지에 로그인할 때 안전한 인증수단을 적용하지 않았다. 외부로부터 불법 접근을 방지하기 위한 침입 탐지 및 차단 시스템 운영도 부실했던 것으로 나타났다.