34만 명 정보 유출에 14억 과징금…블랙야크, 왜 뚫렸나

글로벌 아웃도어 브랜드 블랙야크를 운영하는 비와이엔블랙야크와 온라인 교육 콘텐츠 서비스 운영사 한국토픽교육센터가 개인정보 보호 법규를 위반으로 총 14억 1400만 원의 과징금 및 270만 원의 과태료를 부과받았다.

개인정보위는 9일 전체회의에서 개인정보보호법을 위반한 비와이엔블랙야크에 과징금을 부과하고 이 사실을 공표하도록 명령했다고 10일 밝혔다.

조사 결과, 해커는 올해 3월 1~4일 블랙야크 웹사이트에 SQL 삽입 공격을 시도해 관리자 계정(아이디·비밀번호)을 탈취한 뒤, 이를 이용해 관리자 페이지에 접속하고 총 34만2053명의 개인정보를 유출한 것으로 확인됐다. 유출된 정보는 이름, 성별, 생년월일, 휴대전화 번호, 주소 일부 등이다.

블랙야크는 웹사이트 개설(2021년 10월) 이후 SQL 취약점 점검 및 보완을 소홀히 했고, 재택근무 환경 등으로 관리자 페이지 외부 접속을 허용하면서도 이중 인증 등 안전한 인증 수단을 적용하지 않은 것으로 드러났다.

유사한 SQL 해킹으로 8만4,085명의 개인정보를 유출한 온라인 교육 콘텐츠 기업 한국토픽교육센터에도 과징금 2,300만 원과 과태료 270만 원이 부과됐다. 이 업체는 보안 취약점 점검을 소홀히 하고, 정보 유출 사실을 인지한 후에도 법정 기한(72시간) 내에 피해 사실을 통지하지 않은 것으로 확인됐다.