[보안뉴스]“SQL 삽입 공격 대비 소홀”...개인정보위, 블랙야크에 13억9100만원 과징금

내용 요약

아웃도어 의류 기업 비와이엔블랙야크가 홈페이지 관리 소홀로 고객 개인정보를 유출하여 14억 원에 가까운 과징금 처분을 받았습니다. 개인정보보호위원회는 비와이엔블랙야크와 한국토픽교육센터 두 기업에 총 14억 1,400만 원의 과징금과 270만 원의 과태료를 부과했습니다. 두 기업 모두 홈페이지 취약점으로 인해 개인정보가 유출된 것으로 확인되었습니다. 비와이엔블랙야크는 홈페이지에 접속하는 이용자 PC에 악성코드를 감염시키는 공격에 당했고, 한국토픽교육센터는 개인정보 처리 시스템 접근 통제를 제대로 하지 않아 개인정보가 유출됐습니다.

핵심 포인트

• 비와이엔블랙야크, 홈페이지 관리 소홀로 14억 원 과징금 처분
• 고객 개인정보 유출 사고 원인: 홈페이지 취약점 악용 공격
• 한국토픽교육센터, 접근 통제 미흡으로 개인정보 유출
• 개인정보보호위원회, 두 기업에 총 14억 원 이상 과징금 및 과태료 부과
• 개인정보 유출 피해 규모: 비와이엔블랙야크 약 13만 명, 한국토픽교육센터 약 3만명

기술 세부 내용

1️⃣ Cross-Site Scripting (XSS) 공격

• 비와이엔블랙야크 홈페이지는 XSS 공격에 취약점을 보였습니다. XSS 공격은 공격자가 웹사이트에 악성 스크립트를 삽입하여 사용자의 브라우저에서 실행되도록 하는 공격 기법입니다.
• 공격자는 홈페이지 취약점을 악용하여 악성코드를 삽입하고, 이 홈페이지에 접속하는 사용자 PC에 악성코드를 감염시켰습니다.
• 이를 통해 사용자의 개인정보(이름, 주소, 전화번호, 아이디, 비밀번호 등)를 탈취했을 가능성이 높습니다.
• XSS 공격은 웹 애플리케이션의 입력값 검증 부족으로 인해 발생하는 경우가 많습니다. 비와이엔블랙야크는 홈페이지 개발 및 운영 과정에서 입력값 검증 절차를 제대로 수행하지 않아 취약점이 발생했을 것으로 추정됩니다.
• XSS 공격 예방을 위해서는 입력값 검증, 출력 인코딩, Content Security Policy(CSP) 적용 등의 보안 조치가 필요합니다.️

2️⃣ 접근 통제 (Access Control) 미흡

• 한국토픽교육센터는 개인정보 처리 시스템에 대한 접근 통제를 제대로 하지 않아 개인정보가 유출되었습니다. ⛔
• 접근 통제는 허가된 사용자만 시스템이나 데이터에 접근할 수 있도록 제한하는 보안 조치입니다. 한국토픽교육센터는 접근 권한 관리, 비밀번호 관리, 시스템 접근 로그 관리 등의 보안 조치가 미흡했던 것으로 보입니다.
• 개인정보 처리 시스템에는 중요한 개인정보가 저장되어 있으므로, 접근 통제는 매우 중요한 보안 요소입니다.
• 접근 통제 강화를 위해서는 강력한 비밀번호 정책 적용, 다중 인증(MFA) 도입, 정기적인 접근 권한 검토, 시스템 접근 로그 모니터링 등의 보안 조치가 필요합니다.

3️⃣ 개인정보보호법 위반

• 두 기업 모두 개인정보보호법을 위반하여 과징금 및 과태료 처분을 받았습니다. ⚖️
• 개인정보보호법은 개인정보의 수집, 이용, 제공, 파기 등 전 과정에 걸쳐 안전하게 관리하도록 규정하고 있습니다. 두 기업은 개인정보 처리 시스템에 대한 기술적, 관리적 보호조치를 소홀히 하여 개인정보 유출 사고를 야기했습니다.
• 개인정보보호법 위반을 방지하기 위해서는 개인정보보호 교육 실시, 개인정보보호 정책 수립 및 준수, 개인정보보호 담당자 지정, 개인정보 처리 시스템에 대한 정기적인 보안 점검 등의 노력이 필요합니다.

 

출처: http://www.boannews.com/media/view.asp?idx=138087&kind=&sub_kind=