해킹 공격으로 고객 개인정보를 유출한 보람상조에게 5억원대 과징금이 부과됐다.

개인정보보호위원회는 전날 전체회의를 열고 개인정보보호법을 위반한 보람상조 7개 사업자에 과징금 총 5억4250만원과 과태료 1140만원을 부과하기로 의결했다고 14일 밝혔다.

조사에 따르면 보람상조개발은 보람상조리더스 등 그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해왔다. 그러나 해당 시스템에 필요한 접근제어와 안전성 확보 조치를 소홀히 한 것으로 확인됐다. 위탁사 6개 계열사의 경우 개인정보 교육과 감독 의무를 이행하지 않을 것으로 나타났다.

해커는 홈페이지 취약점을 이용한 'SQL인젝션' 공격을 감행해 해당 DB에 침입해 이름, 휴대전화번호, 이메일 등 고객 개인정보를 탈취했다. SQL인젝션은 웹 애플리케이션 보안 취약점을 이용해 악의적인 SQL 구문을 입력한 뒤 DB를 조작하거나 정보를 탈취하는 해킹 기법이다.

보람상조가 유출 사실을 인지한 후 정보주체에게 즉각 통지해야 하나 법정 기한을 넘겨 통지한 사실도 드러났다. 보유기간이 경과한 개인정보를 파기하지 않고 보관한 점도 확인됐다.

 

 

 

 

https://n.news.naver.com/mnews/article/138/0002227846?sid=105