'아이디어스'를 운영하는 백패커가 개인정보보호법 위반으로 2억2천789만원의 과징금과 360만원 과태료 부과 처분을 받았다.
22일 개인정보보호위원회(개보위)는 19회 전체 회의를 열고 SQL 인젝션 공격으로 약 3만 2천건의 개인정보가 유출된 백패커에 대해 안전조치 의무 위반으로 제재를 의결했다고 23일 밝혔다.
SQL 인젝션 공격이란 웹페이지의 보안 허점을 이용해 악의적인 SQL문을 주입하고 실행되게 해 데이터베이스가 비정상적인 동작을 하도록 조작하는 것이다. 아이디어스에 지난 2월 25일 토요일 밤 11시부터 26일 오후 1시까지 SQL 인젝션 공격이 있었으며 이 과정서 개인정보가 유출된 것이다.
이와 관련해 백패커 측은 회원 정보가 유출된 사실을 확인하자마자 필요한 신고 접수 등을 진행했다고 해명했다.
백패커 이사는 "유출된 서비스의 전산시스템 구조가 굉장히 오래된 부분이어서 대응할 수 있는 여력이 없었다"고 설명했다. 향후 서비스 사업은 매각할 것이라는 게 백패커 측 설명이다.
다만 김동환 백패커 대표는 "최근 매출액이 감소하고 스타트업의 투자 환경이 어려워진 가운데, 자체적인 보안 강화를 위해 투자해왔다"며 "보안에 대해 더 충실히 보완하겠다"고 말했다.
관련기사
- 샤넬, 대기고객에 과도한 개인정보 수집…과태료 낸다2023.11.23
- 개인 의료 정보, 관리·감독 사전 정비 필요 주장나와2023.10.23
- "구글·인스타, 네이버·카카오와 똑같이 개보법 적용받아"2023.10.08
- [기자수첩] 고객과의 신뢰는 ‘네고’ 되지 않는다2022.05.12
백패커 측의 해명으로 개보위위원들은 원안보다 과징금을 50% 수준으로 감경하기로 결정했다.
한편, 개보위는 보안 취약점 예방을 위해 한국인터넷진흥원에서 제공하는 가이드라인을 참고해 ‘보안 취약점 점검’ 및 ‘소프트웨어 보안 약점 진단’ 서비스로 공격 예방이 가능하다고 부연했다.
