무려 '34만명' 개인정보 털렸다…해킹당해 과징금 13억 물게된 중견기업 '정체'

등산용품 기업 블랙야크에서 고객 개인정보가 유출되는 사고가 발생했다.

개인정보보호위원회는 지난 9일 전체 회의를 열어 개인정보보호법을 위반한 '비와이엔블랙야크(블랙야크)'에 과징금 13억 9천 100만 원을 부과하고 이를 공표하도록 명령했다고 10일 밝혔다.

개인정보보호위원회에 따르면 올해 3월 1일부터 4일까지 해커는 블랙야크가 운영하는 웹사이트에 SQL(에스큐엘) 삽입 공격을 감행해 관리자 계정 정보(아이디·비밀번호)를 탈취한 것으로 조사됐다. 이후 이 계정 정보를 통해 관리자 페이지에 접근한 해커는 총 34만 2천 53명의 개인정보를 빼낸 것으로 파악됐다.

탈취된 개인정보는 이름, 성별, 생년월일, 휴대전화 번호, 일부 주소 등이다.

조사 결과 블랙야크는 2021년 10월 자사 웹사이트를 구축한 이후로 웹페이지의 SQL 삽입 공격 취약점에 대한 점검이나 대응 조치를 소홀히 한 것으로 드러났다.

특히 재택근무 등을 이유로 외부에서 관리자 페이지 접속을 허용하면서도 관리자 페이지에 단순히 아이디와 비밀번호 외 보다 안전한 인증 수단을 도입하지 않은 점도 문제로 지적됐다.

개인정보위 측은 "디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어 권한 있는 사용자인지를 판별하기 위해서는 아이디와 비밀번호 외 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌다"고 전했다.

이어 "SGL 삽입공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다"고 강조했다.

SQL 삽입공격이란 검색, 게시판, 로그인 등 웹사이트의 입력창에 SQL 코드를 입력해 특정 명령을 실행하게 만드는 것을 의미하며 웹 해킹 분야에서 흔한 공격 수법이다. 자동화 도구도 많고 방법도 단순한 것으로 알려져 있어 업계에서는 홈페이지 및 애플리케이션 개발 시 SQL 삽입공격 방어 대책을 포함하는 것이 '기본'으로 여겨진다.