개인정보보호위원회(개인정보위)가 위더스교육, 뉴지스탁, 창비 등 개인정보 보호를 위반한 3개 사업자에 총 3700만 원의 과징금과 2140만 원의 과태료를 부과했다.
이번 조사는 한국인터넷진흥원에 해당 사업자들이 개인정보 유출 사실을 신고함에 따라 진행됐다. 조사 결과, 해당 사업자들은 웹셸(Web Shell)과 에스큐엘 주입(SQL Injection) 공격 등 해킹으로 인해 개인정보가 유출된 것으로 파악됐다.
• 웹셸(Web Shell): 시스템에 명령을 내릴 수 있는 코드로서 웹서버 취약점을 통해 서버 스크립트가 게재되면 해커들은 보안 시스템을 피해 별도 인증 없이 시스템에 접속 가능하여 원격으로 해당 웹서버를 조종할 수 있음
• 에스큐엘 주입(Structured Query Language Injection): 데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 빼내는 공격 기법
먼저 온라인으로 원격 평생교육원 서비스를 제공하는 위더스교육의 경우, 파일을 온라인에 올릴 때 보안 취약 사항 점검을 제대로 하지 않아, 웹셸에 의한 해킹 공격으로 수강생의 이름, 연락처 등 개인정보가 유출됐다.
또한 침입 탐지·차단 시스템을 소홀하게 운영했으며, 탈퇴한 이용자 개인정보를 즉시 파기하지 않고 1년 이상 장기 미이용자의 개인정보를 다른 이용자의 개인정보와 분리해 별도로 보관하지 않았다.
주식 데이터 분석 서비스 제공업체인 뉴지스탁 역시 누리집의 자유게시판을 대상으로 보안 관련 취약 사항 등을 점검하지 않아, 웹셸에 의한 해킹 공격으로 이용자 연락처 등 개인정보가 유출됐다.
온라인 도서 사이트를 운영하는 창비는 에스큐엘 질의명령문(query)과 같은 누리집 입력값에 대한 검증을 소홀히 해 개인정보가 타인에게 노출됐다. 개인정보 취급자의 접속 기록을 남기지 않는 등 개인정보의 기술적·관리적 보호 조치 의무를 다하지 않았다.
또한, 개인정보처리시스템을 운영하면서 안전한 인증 수단을 적용하지 않았고 1년 이상 장기 미이용자의 개인정보를 파기 또는 분리해 별도로 보관하지 않은 사실도 확인됐다.
