SQL 삽입 공격에 뚫린 기업들…개인정보위, 3개사 1억7760만원 제재

개인정보보호위원회가 SQL 삽입 공격으로 대량의 개인정보가 유출된 3개 사업자에 총 1억7760만 원의 과징금과 540만 원의 과태료를 부과하기로 20일 의결했다. 이번 제재 대상은 온라인 교육 콘텐츠 기업 이젠, 건축 상담 홈페이지를 운영하는 더존하우징, 골프장 예약 플랫폼 레저플러스 등이다.

이젠은 2021년 8월부터 올해 8월까지 3년간 지속된 공격으로 총 6만9930명의 개인정보가 유출됐다. 유출 정보는 성명·전화번호·이메일 등 기본 개인정보에 더해, 3만5454건의 주민등록번호가 암호화 없이 그대로 노출된 점이 특히 문제로 지적됐다. 조사 결과, 이젠은 SQL 취약점 점검과 유출 시도 탐지·차단을 제대로 수행하지 않았으며, 유출 통지와 신고 역시 지연한 사실이 확인됐다.

더존하우징은 지난해 12월 발생한 공격으로 회원 3만3879명의 개인정보가 유출됐다. 비밀번호 암호화 조치가 미흡했고, SQL 공격을 탐지·차단하는 기본 보안 시스템을 운영하지 않은 것으로 나타났다. 데이터베이스 접속기록 관리도 부실하다는 지적이 더해졌다.

레저플러스는 올해 9월과 10월 두 차례 SQL 삽입 공격을 받아 총 16만807명의 개인정보가 유출됐다. 개인정보위는 해당 업체가 취약점 점검과 선제적 차단 조치를 소홀히 했고, 회원 비밀번호 암호화 수준도 기준에 미달했다고 밝혔다.

SQL 삽입 공격은 웹서비스 보안에서 가장 널리 알려진 취약점 중 하나다. 공격자가 악의적 SQL 명령문을 주입해 데이터베이스를 직접 조작함으로써 대규모 정보 유출로 이어질 수 있다.

개인정보위가 올해 처분한 SQL 삽입 공격 기반 유출 사건은 7건으로, 평균 유출 규모만 약 21만 건에 달한다.

개인정보위는 이번 조사 결과를 바탕으로 사업자 대상 SQL 삽입 공격 예방 수칙을 마련·제공하고, 자체적으로 점검할 수 있도록 지속적으로 안내할 계획이다.