CloudPNG

ºC

logo
IT/바이오

개인정보위, SQL공격 제재 강화…온라인 기업 긴장

조민석 기자
입력

개인정보 보호 규제가 웹 기반 서비스 전반의 보안 수준을 재점검하는 계기로 작용하고 있다. 온라인 교육, 건축, 골프장 예약 플랫폼을 운영하는 중견 사업자들이 SQL 삽입 공격에 연이어 뚫리면서 개인정보보호위원회가 과징금과 과태료 부과에 나섰다. 단순 사고 통지를 넘어 암호화와 침해사고 탐지, 데이터베이스 접근통제 등 기술적 보호조치 전 과정에 대한 규제 집행이 강화되는 흐름으로 보인다. 업계에서는 이번 제재를 계기로 중소·중견 IT 기업도 금융권 수준의 데이터 거버넌스와 보안 투자 압력이 커질 수 있다는 관측이 나온다.

 

개인정보보호위원회는 온라인 교육콘텐츠 업체 이젠, 건축 전문 업체 더존하우징, 골프장 예약 플랫폼 운영사 레저플러스 등 3개 사업자에 총 1억7760만 원의 과징금과 540만 원의 과태료를 부과했다고 21일 밝혔다. 과징금은 이젠 6060만 원, 더존하우징 5580만 원, 레저플러스 6120만 원이며 이젠에는 별도로 과태료 540만 원도 내려졌다. 위원회는 처분 결과를 공표하도록 의결해 이용자와 시장에 경각심을 주려는 메시지를 함께 던졌다.

3개 사업자의 공통된 침해 원인은 웹 애플리케이션 취약점을 노린 SQL 삽입 공격이다. SQL 삽입은 로그인 화면이나 검색창 등 입력 필드에 데이터베이스 질의문을 조작해 넣고, 서버가 이를 필터링 없이 실행하도록 유도해 내부 정보를 탈취하거나 변조하는 방식이다. 입력값 검증과 쿼리 구조 분리, 웹방화벽 같은 기본적인 방어 체계가 제대로 구현되지 않을 경우 비교적 단순한 공격으로도 대량의 개인정보가 유출될 위험이 크다.

 

위원회 조사에 따르면 이젠에서는 약 3년에 걸쳐 홈페이지를 대상으로 한 SQL 삽입 공격이 지속되면서 회원 6만9930명의 성명, 전화번호, 이메일 등 개인정보가 외부로 빠져나갔다. 유출 정보는 텔레그램을 통해 유포됐으며, 특히 이 가운데 3만5454명에 대해서는 암호화되지 않은 주민등록번호가 그대로 노출됐다. 주민등록번호는 국내에서 가장 민감한 고유 식별정보로 분류되는 만큼, 암호화 의무 위반이 중대 위반 사항으로 받아들여질 수밖에 없다.

 

이젠은 SQL 삽입 취약점 점검과 보완 조치가 부실했을 뿐 아니라, 비정상적인 접속 패턴을 탐지해 차단하는 보안 관제에도 허점이 있었던 것으로 확인됐다. 위원회는 유출 사실을 인지한 이후에도 이용자 통지와 관계기관 신고를 지연한 점을 추가 위반 사항으로 지적했다. 침해 징후를 조기에 파악해 피해 확산을 줄여야 하는데, 사후 대응 절차까지 미흡했다는 평가다.

 

더존하우징은 2023년 이뤄진 SQL 삽입 공격으로 회원 3만3879명의 아이디, 비밀번호, 이름, 전화번호 등 계정 기반 정보가 유출됐다. 이 정보 역시 텔레그램을 통해 게시된 것이 확인됐다. 조사 결과 더존하우징은 SQL 삽입 공격을 사전에 탐지하고 차단할 수 있는 시스템을 운영하지 않았고, 애플리케이션 취약점 진단과 보완 활동도 충분히 이행하지 않았다. 특히 회원 비밀번호에 대한 암호화 수준이 기준에 미치지 못한 점, 데이터베이스 접속기록 관리가 소홀했던 점도 위반 사유로 적시됐다.

 

레저플러스의 경우 두 차례에 걸친 SQL 삽입 공격으로 회원 16만807명의 고객명, 휴대전화 번호, 비밀번호 등의 정보가 외부로 유출됐다. 위원회는 레저플러스가 SQL 삽입 취약점 관리와 정기 점검을 소홀히 했고, 침입 탐지 체계를 통해 유출 시도를 사전에 발견하지 못했다고 밝혔다. 회원 비밀번호 암호화 조치 역시 안전성을 충분히 확보하지 못한 것으로 드러났다. 누적 유출 규모가 다른 두 사업자보다 큰 만큼, 플랫폼 기반 서비스의 구조적 취약성이 부각됐다는 평가도 나온다.

 

국내 개인정보보호법은 주민등록번호, 계정 비밀번호 등 민감하거나 계정 탈취에 직결될 수 있는 정보를 저장할 때 안전한 암호화와 접근통제를 의무화하고 있다. 또 SQL 삽입처럼 널리 알려진 공격 기법에 대해서는 웹 취약점 점검, 보안 패치, 웹방화벽 도입 등 예방 조치를 취해야 한다는 점을 행정 지침과 고시를 통해 여러 차례 강조해 왔다. 이번 조치는 단순한 침해사고 발생 여부가 아니라 사전 예방과 사후 통지, 내부 관리 계획 수립과 이행 여부까지 포괄적으로 평가한 결과라는 점에서 의미가 크다.

 

해외에서도 웹 애플리케이션 취약점은 여전히 주요 침해 경로로 꼽힌다. 미국과 유럽에서는 금융, 의료, 공공기관을 중심으로 애플리케이션 보안 테스트를 지속적으로 수행하고 취약점 관리 프로세스를 의무화하는 흐름이 강해지는 중이다. 국내에서도 금융권과 대형 IT 기업 위주로 이와 유사한 수준의 보안 거버넌스를 구축하고 있으나, 중소·중견 기업과 전문 플랫폼 사업자의 경우 인력과 예산 한계로 대응 수준이 뒤처져 있다는 지적이 반복돼 왔다.

 

개인정보보호위원회는 이번 제재를 계기로 중소규모 온라인 서비스 사업자들이 기술적 보호조치와 침해사고 대응 체계를 재정비할 필요가 있다고 보고 있다. 특정 기술을 강제하기보다, 암호화 강도와 침입 탐지 수준, 데이터베이스 접근기록 관리 등 전반적인 관리 수준을 상향하는 방향의 행정지도와 점검을 이어갈 가능성도 제기된다. 전문가들은 이용자 신뢰를 전제로 하는 디지털 서비스 시장에서 개인정보 유출 사고가 장기적으로 기업 가치와 산업 경쟁력을 훼손할 수 있다고 경고한다.

 

업계 일각에서는 웹 보안과 데이터 거버넌스 규제가 강화될수록 초기 비용 부담이 커질 수 있지만, 반복되는 유출 사고가 정책 리스크로 이어지는 상황을 감안하면 중장기적으로는 필수 투자 항목이 될 것이라는 분석도 나온다. 개인정보보호위원회의 이번 조치를 두고 산업계는 웹 기반 서비스 전반의 보안 수준이 실제로 개선될지, 그리고 규제와 지원의 균형이 어떻게 맞춰질지 예의주시하고 있다.

조민석 기자
share-band
밴드
URL복사
#개인정보보호위원회#이젠#더존하우징