3개 사업자는 온라인 교육콘텐츠 서비스를 운영하는 이젠, 건축 전문 업체 더존하우징, 골프장 예약 플랫폼 서비스 운영하는 레저플러스다.
이들은 공통적으로 SQL(데이터베이스·DB 명령어) 삽입 공격으로 회원 정보가 유출됐다. 이 공격 방법은 웹사이트 취약점을 이용해 악의적인 SQL문을 실행되게 함으로써 DB를 비정상적으로 조작한다.
이젠은 2021년 8월부터 3년간 홈페이지 대상 SQL 삽입 공격으로 회원 6만9930명의 개인정보(성명, 전화번호, 이메일 등)가 유출돼 텔레그램에 게시됐고, 이중 3만5454명은 암호화되지 않은 주민등록번호가 유출됐다.
조사결과, 이젠은 SQL 삽입 공격에 대한 취약점 점검·조치 및 개인정보 유출 시도 탐지·차단을 소홀히 했다. 주민등록번호 암호화 조치 미흡, 개인정보 유출통지 및 신고를 지연한 사실도 확인됐다. 이에 과징금 6060만 원과 과태료 540만 원이 부과됐다.
더존하우징은 2023년 12월 해커의 SQL 삽입 공격으로 회원 3만3879명의 개인정보(아이디, 비밀번호, 이름, 전화번호 등)가 유출돼 텔레그램에 게시됐다. 사전 탐지·차단 시스템을 운영하지 않고 취약점 점검·조치와 회원 비밀번호 암호화 조치가 미흡했으며, DB 접속기록 관리로 소홀했다.
레저플러스는 2024년 9월과 10월 두 차례에 걸친 SQL 삽입 공격으로 회원 16만807명의 개인정보(고객명, 휴대폰번호, 비밀번호 등)가 유출됐는데, 마찬가지로 SQL 삽입 공격 취약점 관리를 소홀히 했다.
더존하우징과 레저플러스에는 각각 과징금 5580만 원, 6120만 원이 부과됐다.
개인정보위는 이번 조사 결과를 바탕으로 사업자 대상 SQL 삽입 공격 예방 수칙을 마련·제공하고, 자체적으로 점검할 수 있도록 지속적으로 안내할 계획이다.
소송자료 약 1.6TB 규모 유출로 과징금 5억 2300만 원 부과
이날 개인정보위는 소송자료를 유출한 법무법인 로고스에 대한 제재 처분도 의결했다. 과징금 5억 2300만 원과 과태료 600만 원을 부과하고, 위반사항에 대한 시정명령 및 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
로고스는 2024년 7~8월 해커로부터 관리자 계정정보(아이디, 비밀번호)를 탈취당했다.
해커는 내부 인트라넷 시스템에 접속해 4만3892건의 사건관리 리스트(의뢰인명, 소송상대자, 사건명, 사건번호 등)를 확보했으며, 소송자료가 저장된 디렉토리에서도 약 1.59TB 규모의 소송관련 문서 18만5047건을 내려받아 유출했다. 해당 문서는 소장, 판결문, 진술조서, 증거서류, 금융거래내역서 등으로, 문서에는 이름, 연락처, 주소, 주민등록번호, 계좌번호 등의 개인정보가 다수 포함됐다.
로고스는 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등 접근 통제 조치를 소홀히 한 것으로 드러났다. 외부에서 시스템 접속 시 안전한 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했다.
이에 개인정보위는 유출사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화 및 명확한 파기 지침 수립, 사고 대응 체계 정립 등 전반적인 개인정보 보호 및 관리 체계를 강화하라는 시정명령을 내렸다.
