쇼핑몰 구축 솔루션 'e나무'를 운영하는 NHN커머스가 해킹 공격에 대한 보안 조치 미흡과 부실한 유출 통지로 정부의 제재를 받게 됐다.
뉴시스 보도에 따르면, 개인정보보호위원회는 전날 전체회의를 열고, 개인정보 보호 법규를 위반한 NHN커머스에 과징금 870만원과 과태료 450만원을 부과하고 위반 사실 공표를 명령했다고 밝혔다.
이번 처분은 2024년 9월 발생한 'SQL 인젝션' 공격에 따른 것이다. SQL 인젝션은 해커가 데이터베이스 질의어(SQL 쿼리)를 악의적으로 조작해 권한 없는 정보에 접근하는 해킹 기법이다.
조사 결과, NHN커머스가 제공하는 'e나무' 솔루션 장바구니 페이지에서 보안 취약점이 발견됐다. 해커는 이 틈을 노려 근린생활시설 등을 운영하는 소상공인과 중소기업 등 17개 이용사업자의 홈페이지를 공격했다. 이 과정에서 주문자 122명의 개인정보가 유출됐다. 유출된 정보에는 이름, 휴대전화번호, 주소 등 배송지 정보와 주문 내역, 결제 정보 등이 포함됐다.
문제가 된 'e나무'는 서비스 개시 10년이 지난 구형 솔루션으로 확인됐다. 대부분의 이용자가 차세대 솔루션으로 이동했지만, 영세한 소상공인 등 일부 이용자가 홈페이지를 이전하지 못하고 기존 서비스를 이용하다 사고를 당한 것으로 드러났다. NHN커머스 측의 기술 지원과 보안 관리가 제대로 이뤄지지 않은 점도 문제로 지적됐다.
NHN커머스의 미흡한 사후 대처도 도마 위에 올랐다. 회사 측은 해킹 사실을 인지하고 개인정보위에 신고했으나, 정작 피해를 본 이용사업자들에게는 이메일과 전화로 일회성 통지를 하는 데 그쳤다.
특히 일부 영세 사업자가 상황을 제대로 인지하지 못할 가능성을 알면서도, 확보하고 있던 최종 이용자 연락처로 직접 통지하는 등의 조치를 취하지 않아 '72시간 내 유출 통지' 의무를 위반했다.
개인정보위는 NHN커머스에 대해 안전조치 의무 위반으로 과징금을, 유출 통지 의무 위반으로 과태료를 각각 부과했다.
아울러 'e나무' 솔루션의 보안 취약성과 전담 조직 부재, 과거 유사 해킹 전력 등을 고려해 기존 이용사업자의 웹사이트 이전을 지원하고 대체 솔루션을 제공하도록 개선 권고했다.
개인정보위 관계자는 "대형 수탁자가 역할에 걸맞은 개인정보 보호 조치를 이행해야만 영세 소상공인을 포함한 다수 이용사업자의 보안 수준 또한 달성될 수 있다"고 말했다.
Copyright ⓒ 모두서치 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
