개인정보보호위원회가 개인정보 보호 법규를 위반한 ㈜비와이엔블랙야크와 ㈜한국토픽교육센터에 총 14억 1400만 원의 과징금과 270만 원의 과태료를 부과했다. 

두 업체 모두 웹사이트의 SQL 삽입 공격(SQL Injection) 취약점 점검을 소홀히 하고, 안전조치 의무를 위반한 것으로 드러났다.

9일 개인정보위는 제15회 전체회의를 열고 이 같은 제재를 의결했다고 밝혔다.

먼저 의류 제조·판매업체인 비와이엔블랙야크는 2025년 3월 1일부터 4일까지 해커의 SQL 삽입 공격을 받아 웹사이트 관리자 계정 정보가 탈취됐다. 

해커는 이를 통해 관리자 페이지에 불법 접속해 이용자 34만2253명의 개인정보를 내려받았다. 유출된 정보에는 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부(동·호수 등)가 포함돼 있었다.

조사 결과, 비와이엔블랙야크는 2021년 10월 웹사이트 개설 이후 SQL 삽입 공격 취약점 점검과 조치를 소홀히 했고, 재택근무 등의 이유로 외부에서 관리자 페이지 접속을 허용하면서도 아이디·비밀번호 외에 추가적인 안전 인증수단을 적용하지 않은 것으로 드러났다. 

개인정보위는 해당 회사에 과징금 13억9100만 원과 함께 제재 사실을 홈페이지에 공표하라고 명령했다.

온라인 교육 콘텐츠를 운영하는 한국토픽교육센터 역시 SQL 삽입 공격에 취약했다. 

2024년 3월 12일, 해커가 이 회사의 웹사이트를 공격해 이용자 8만4085명(중복 포함)의 개인정보를 탈취하고 텔레그램에 공개한 사건이 발생했다. 

유출된 정보에는 아이디, 암호화된 비밀번호, 이름, 생년월일, 성별, 연락처, 이메일, 주소 등이 포함됐다.

한국토픽교육센터는 SQL 삽입 공격을 방지하기 위한 보안 점검과 조치가 미흡했을 뿐 아니라, 개인정보취급자의 시스템 접속 기록을 보관·관리하지 않았다. 

또한, 개인정보 유출을 인지하고도 정당한 사유 없이 72시간이 지나서야 유출 사실을 통지한 것으로 확인됐다. 

개인정보위는 한국토픽교육센터에 과징금 2300만 원과 과태료 270만 원을 부과하고, 제재 사실을 홈페이지에 공표하도록 했다.

개인정보위 관계자는 “디지털 전환이 가속화되며 재택근무 등 외부 접속 환경이 확대되는 상황에서, 아이디·비밀번호 외에 안전한 다중 인증 수단을 도입하는 것이 무엇보다 중요하다”며, “SQL 삽입 공격은 기본적인 해킹 수법이지만, 이에 대한 대비가 소홀하면 대규모 개인정보 유출로 이어질 수 있다. 개인정보처리자들은 웹 취약점 점검 등 보안 대책을 강화해야 한다”고 강조했다.

[경제엔미디어=장민철 기자]