“웹 해킹에 개인정보 42만 건 유출”…블랙야크·토픽교육센터 14억 제재

웹사이트 취약점을 노린 해킹으로 42만 명이 넘는 이용자 개인정보가 유출되는 사고가 발생했다. 개인정보보호위원회는 보안 관리 부실을 이유로 아웃도어 브랜드 BYN블랙야크와 온라인 교육 서비스업체 한국토픽교육센터에 총 14억1400만 원의 과징금 제재를 내렸다. 업계는 이번 처분을 개인정보 보호 이슈가 디지털 서비스 산업의 중대 분기점임을 시사하는 사례로 보고 있다.

블랙야크 회원 34만2253명의 개인정보 유출 사고는 올해 3월, 해커가 SQL 삽입(웹 취약점으로 악성 쿼리를 데이터베이스에 입력하는 기법) 공격을 감행하며 시작됐다. 탈취된 관리자 계정 정보를 통해 해커는 저장된 개인 정보를 빼냈으며, 블랙야크는 2021년 10월 웹사이트 개설 이후 해당 취약점에 대한 점검과 조치를 소홀히 한 사실이 밝혀졌다. 특히 재택근무 등으로 외부 접속 경로를 열어두면서 추가 인증 시스템조차 도입하지 않은 점이 보안 허점으로 지적됐다.

토픽교육센터에서도 같은 해킹 수법이 적용됐다. 지난해 3월, 토픽교육센터 웹사이트 이용자 중복포함 8만4085명에 해당하는 개인정보가 SQL 삽입 공격으로 유출돼 일부 정보가 텔레그램 등 외부 채널에 공개된 것으로 조사됐다. 기관 측은 관리 시스템 접속 기록 미보관, 정당 사유 없는 유출 통보 지연 등 운영 전반에 보안 의식 결여를 드러냈다. 개인정보위는 두 기업 모두에 정보 유출 사실을 홈페이지 등에 공표하도록 명령했다.

SQL 삽입 공격은 이미 국내외 보안 가이드라인에서 강조돼온 대표적 해킹 기법임에도, 웹 애플리케이션 취약점 점검과 인증 절차 강화 등 기초적 보호 조치가 이행되지 않아 대규모 피해로 이어졌다. 특히 사용자의 이름, 연락처, 주소 등 민감한 정보가 포함돼 2차 범죄 우려가 크다는 평가다. 개인정보위는 개인정보 처리자는 취약점 점검과 인증 방식 강화 등 기본 보안 대책에 각별한 주의를 기울여야 한다고 재차 강조했다.

한편 이번 전체회의에선 온라인 사기피해 조회 서비스 더치트, 세무대행앱을 운영하는 3개사(토스인컴·지엔터프라이즈·자비스앤빌런즈)도 개인정보 관리 미흡 사례로 처분 대상에 올랐다. 더치트는 피해사례 등록 과정에서 사기 의심자의 개인정보를 포괄 동의 방식으로 수집·처리하면서 처리방침 일부 항목을 누락해 과태료 480만 원을 부과받았다. 세무앱 운영사들은 주민등록번호 입력 최소화 방안 마련과 명시적 위임 절차를 개선하도록 시정 권고가 내려졌다.

글로벌 시장에서는 EU GDPR(일반개인정보보호법) 등 규제 강화 추세와 맞물려, SaaS(서비스형 소프트웨어), 에듀테크, 핀테크 등 신산업 전반에서 개인정보 보호 관리체계 혁신이 신규 사업의 필수 조건으로 부상하고 있다. 미국, 유럽 일각에서는 해킹 피해 기업에 법적 책임을 엄격하게 묻는 사례도 늘고 있다.

전문가들은 “SQL 삽입 공격은 기초적 보안 점검만 잘 이행해도 충분히 예방 가능한 사고”라면서 “데이터 소유와 이용이 점점 중요해지는 시점에서, 개인정보 상시 보호와 보안 투자 강화를 산업계 성장의 기본 축으로 설정할 필요가 있다”고 진단했다. 산업계는 이번 제재가 실질적 기술·관리 보안 수준 향상으로 이어질지 예의 주시하고 있다.