개인정보 유출 사고가 발생한 이스트소프트에 대해 과징금 1억1천200만원, 과태료 1천만원이 부과됐다.
방송통신위원회는 28일 전체회의를 개최, 이스트소프트에 대한 개인정보 유출 조사 결과를 발표하고 과징금과 과태료를 부과하기로 했다.
방통위는 이스트소프트로부터 개인정보 유출 신고를 받고, 지난 9월부터 과학기술정보통신부, 한국인터넷진흥원과 함께 현장조사를 실시해 확보한 사고 관련 자료를 분석했다. 이를 통해 구체적인 해킹 방법과 절차, 개인정보 유출 규모 등을 확인했다.
이스트소프트 개인정보를 해킹한 해커는 지난해 말 검거됐다. 해커는 이스트소프트의 웹브라우저 부가 서비스 '알툴바' 이용자들이 저장한 외부 사이트 계정과 비밀번호 정보를 유출할 목적으로 해킹 프로그램을 자체 제작했다. 이를 통해 지난해 2월 9일부터 9월 25일까지 알패스 서비스에 사전대입공격을 한 것으로 밝혀졌다.
사전대입공격이란 공격자가 사전에 확보한 계정, 비밀번호 정보 또는 일반적으로 사용되는 정보 파일을 가지고 프로그램을 통해 하나씩 모두 대입해보는 방법이다.
해커에게 유출된 개인정보는 해당 서비스 이용자의 외부 사이트 주소, 아이디, 비밀번호 2천546만1천263건과 16만6천179명의 계정 정보다. 이용자 1인당 150여건의 알패스 정보가 유출됐다.
또 해커는 유출된 이용자의 정보를 악용해 이용자가 가입한 포털 사이트에 부정 접속해 이용자들이 저장한 주민등록증과 신용카드, 사진을 확보했다. 이후 휴대전화 개통과 해킹에 사용할 서버 5대를 임대했다. 이를 이용해 가상화폐 거래소에 부정 접속해 이용자가 보유 중인 가상화폐를 출금한 것으로 나타났다.
이스트소프트는 ▲적절한 규모의 침입 차단 탐지 시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 개인정보 불법 유출 시도를 탐지하지 않은 점, 개인정보가 외부 공개 또는 유출되지 않도록 필요한 보안 대책과 개선조치를 취하지 않은 점 등 정보통신망법 개인정보 보호조치 규정을 위반하고 있는 것으로 조사됐다.
특히 보관 중인 외부 계정 정보가 수천만건에 이르며, 유출 시 2차 피해 가능성이 있는데도 불구하고 이스트소프트가 개인정보 보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용됐다.
관련기사
- 페이스북 과징금이 3억9600만원이었던 이유2018.03.28
- 홈쇼핑에 칼빼든 방심위, 과징금 줄철퇴 예고2018.03.28
- “개인정보 유출 과징금, 최소 10억원 넘어야”2018.03.28
- 여기어때 해킹사건, 왜 '과징금 3억원' 경징계 나왔나2018.03.28
방통위는 이와 함께 피해 규모가 크고 유출된 개인정보를 활용한 대포폰 개설, 서버 임대 등 이용자 추가 피해가 확인된 점 등을 종합적으로 고려해 이스트소프트에 대해 ▲과징금 1억1천200만원 ▲과태료 1천만원 ▲위반행위의 중지 및 재발 방지 대책 수립 시정명령 ▲시정명령 처분사실 공표 등 행정 처분을 의결했다.
이효성 방통위원장은 “이용자를 가장한 해커의 웹페이지 공격이 성행함에 따라 이에 따른 피해를 예방할 수 있도록 정보통신서비스제공자의 보안을 강화할 필요가 있고, 이용자도 서비스 이용 시 비밀번호 관리에 각별히 유념해야 한다”고 당부하며 “방통위는 온라인 분야의 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화해 나가겠다”고 밝혔다.