사회
블랙야크 한국토픽교육센터, 개인정보 유출로 14억 과징금
개인정보보호위원회가 글로벌 아웃도어 브랜드 블랙야크를 운영하는 비와이엔블랙야크와 온라인 교육 서비스 기업 한국토픽교육센터에 대해 개인정보보호법 위반 혐의로 총 14억 원이 넘는 과징금을 부과했다.
위원회는 지난 9일 제15회 전체회의를 통해 이 같은 내용을 확정하고, 위반 사실과 처분 내용을 공개하도록 명령했다고 10일 밝혔다.
조사 결과, 비와이엔블랙야크는 자사 웹사이트의 보안 취약점을 장기간 방치한 것이 확인됐다.
지난 2021년 10월 개설된 해당 웹사이트는 SQL 삽입 공격에 대한 보안 점검과 대응이 미흡했다.
재택근무 등을 이유로 외부에서 관리자 페이지 접속을 허용하면서도 이중 인증 등 안전장치를 제대로 마련하지 않은 상태였다.
이러한 허점을 노리고 해커는 2024년 3월 1일부터 4일까지 사이 SQL 삽입 방식으로 웹사이트에 침투, 관리자 계정 정보를 탈취해 접근 권한을 확보했다.
이후 해커는 관리자 권한을 이용해 이용자 34만2253명의 개인정보를 대량으로 내려받은 것으로 드러났다.
유출된 정보에는 이름, 성별, 생년월일, 휴대전화번호, 주소 일부 등이 포함돼 있어 2차 피해 우려도 커지고 있다.
이에 따라 개인정보위원회는 비와이엔블랙야크에 13억9100만 원의 과징금과 함께, 현재 운영 중인 홈페이지에 해당 위반 사실을 명시적으로 공표할 것을 명령했다.
이와 함께 한국토픽교육센터도 비슷한 이유로 제재를 받았다.
해당 기관은 2023년 3월 12일 SQL 삽입 공격을 받아 8만4085명에 달하는 개인정보를 유출당했고, 해커는 이 정보를 텔레그램 등 외부 채널에 공개했다.
유출된 정보에는 아이디, 비밀번호, 이름, 생년월일, 성별, 연락처, 이메일, 주소 등이 포함돼 있었다.
개인정보위는 한국토픽교육센터가 SQL 공격 방지를 위한 취약점 점검을 소홀히 했을 뿐 아니라, 개인정보처리시스템에 대한 접속기록조차 보관하지 않았다고 지적했다.
나아가 정보 유출을 인지한 이후에도 정당한 사유 없이 72시간 이상 유출 사실을 통지하지 않아 법 위반이 중복된 것으로 드러났다.
이에 개인정보위는 한국토픽교육센터에 과징금 2300만 원과 과태료 270만 원을 부과했으며, 이 역시 홈페이지에 위반 사실을 공표하도록 했다.
개인정보보호위원회는 이번 처분과 관련해 “기초적인 보안조차 지키지 않아 다수 국민의 개인정보가 유출된 점을 중대하게 판단했다”고 말했다.
이어 “앞으로도 기업과 기관들이 개인정보보호에 있어 법적 책임과 기술적 조치를 철저히 이행하도록 지속적인 점검과 강력한 조치를 이어가겠다”고 밝혔다.
이번 사례는 단순 보안 실패가 아닌 조직적 관리 미비와 법적 의무 이행 부족이 초래한 대형 사고로, 모든 기업과 기관이 개인정보 보호의 중요성을 되새겨야 할 경각심의 계기가 되고 있다.
김용현 (kor3100@sabanamedia.com)