[한스경제=김태형 기자] 개인정보 보호를 위한 안전 조치를 소홀히 해 306만여명의 개인정보를 유출시킨 모두투어네트워크가 과징금·과태료 7억5000여만원의 처분을 받았다.
개인정보보호위원회(이하 ‘개인정보위’)는 13일 온·오프라인 여행 중개 서비스인 모두투어를 운영하는 모두투어네트워크에 개인정보보호법 위반을 이유로 과징금 7억4700만원, 과태료 1020만원과 개인정보 보호 관리체계 개선 권고 처분 등을 12일 열린 전체회의에서 의결했다고 밝혔다. 이와 동시에 공표명령 및 개선권고하기로 의결했다.
개인정보위는 작년 7월 모두투어네트워크의 개인정보 유출 신고에 따라 조사한 결과 ‘개인정보 보호법’에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실을 확인했다.
조사결과 신원미상의 해커가 작년 6월 모두투어네트워크가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했고 해당 파일에 존재하는 악성코드를 실행해 고객정보 데이터베이스(DB)에서 회원·비회원 306만여명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취했다.
웹셸 공격은 특정 웹페이지의 파일 업로드 취약점(파일 업로드 기능을 이용해 비정상적인 스크립트 파일 등을 실행)을 통해 시스템에서 실행 가능한 악성코드를 삽입하고 실행해 관리자 권한 획득, 개인정보 탈취 등을 행하는 공격 기법이다.
개인정보위 조사 결과에 따르면 모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 했다. 아울러 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.
또 모두투어네트워크는 지난 2013년 3월부터 수집한 비회원 316만여건(중복 포함)의 개인정보를 보유기간이 경과되었음에도 파기하지 않고 보유하고 있어 대규모 유출에 영향을 끼쳤다. 작년 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월 후인 9월에야 개인정보 유출 사실을 통지한 것도 개인정보 침해 우려를 키우게 된 한 원인으로 보인다.
이번 유출 사고에서 주요 원인이 된 웹셸 공격은 잘 알려진 웹 취약점 공격이지만 데이터베이스(DB)에 접근이 가능하여 피해 정도가 큰 특징을 가지고 있는 만큼 개인정보 탈취 위험에 대한 사전 탐지·차단 정책 강화 및 파일 업로드 취약점 점검·조치 등 각별한 주의와 예방이 필요하다.
또한 대규모 개인정보 처리 사업자는 보유기간 경과, 처리목적 달성 등 수집한 개인정보가 불필요하게 되었을 때는 이를 지체없이 파기해 혹시 모를 개인정보 유출사고 발생 시 피해규모를 최소화해야 한다.
개인정보위는 "개인정보 탈취 위험을 사전에 탐지하고 차단 정책을 강화해야 한다"며 "정보주체의 2차 피해 예방을 위해 개인정보 유출 사실을 인지하게 되면 즉시 통지하도록 체계를 정비할 필요가 있다"고 당부했다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
