'SQL 인젝션' 공격에 당했다···개인정보 유출 사업자 2곳 과징금
온라인 전자세금계산서 발행 '스마트빌' 서비스를 운영하고 있는 비즈니스온커뮤니케이션과 패션 분야 오픈마켓 '가방팝' 서비스를 운영하고 있는 엔에이치엔위투 두 회사가 개인정보보호 법규를 위반, 과징금과 함께 시정명령을 받았다. 개인정보보호위원회(위원장 고학수, 개인정보위)는 26일 오후 제4회 전체회의를 열고, 개인정보보호 법규를 위반한 이들 2개 사업자에 대해 총 1억 9810만 원의 과징금과 1230만 원의 과태료를 부과했다. 이와함께 시정명령과 공표명령도 함께 의결했다. 비즈니스온커뮤니케이션은 온라인 전자세금계산서 발행 '스마트빌' 서비스를 운영하고 있고, 엔에이치엔위투는 패션 분야 오픈마켓 '가방팝' 서비스를 운영하고 있다. 이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다. ■ 비즈니스온커뮤니케이션:과징금 1억 3700만 원과 과태료 270만 원 부과. 시정명령과 공표 명령도 비즈니스온커뮤니케이션은 신원미상의 자(이하 '해커')의 에스큐엘(SQL) 인젝션 공격으로 '스마트빌' 서비스의 회원정보(이름, 아이디, 비밀번호, 이메일, 연락처 등) 17만9386건이 유출됐다. 에스큐엘(SQL, Structured Query Language) 인젝션 공격은 악의적인 에스큐엘(SQL)문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법이다. 비교적 오래된 해킹 기술로, 웹 애플리케이션과 데이터베이스 간 연동에서 발생하는 취약점이다. 공격자가 입력 폼에 악의적으로 조작된 쿼리를 삽입해 데이터베이스 정보를 불법적으로 열람하거나 조작할 수 있는 취약점을 말한다. SQL(Structured Query Language)은 데이터베이스 관리를 위한 특수 목적의 프로그래밍 언어를 말한다. 공격 유형은 크게 네 가지다. 'Error based SQL Injection(논리적 에러를 활용한 SQL 인젝션)'은 인증 우회를 위해 논리적 에러를 유도하는 방식의 공격 기법이고, 'Union SQL Injection(UNION 명령어를 활용한 SQL 인젝션)'은 공격자가 추가적인 쿼리를 삽입해 정보를 획득하는 기법으로 UNION 명령어를 이용해 여러 쿼리를 합치는 방식을 이용한다. 또 'Blind SQL Injection : Boolean based SQL'은 서버의 반응을 통해 정보를 얻는 SQL 공격 기법으로 오류 메시지의 자세한 내용이 없어도 공격이 가능하고, 'Stored Procedure SQL Injection'은 저장 프로시저는 쿼리를 묶어 하나의 함수처럼 실행하는데, 공격자가 저장 프로시저에 악성코드를 삽입해 실행한다. 개인정보위 조사 결과, 비즈니스온커뮤니케이션은 에스큐엘(SQL) 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 시스템 접속권한을 아이피(IP) 주소 등으로 제한하지 않아 개인정보가 유출된 것으로 밝혀졌다. 또 유출신고를 지연한 사실도 확인됐다. 이에 개인정보위는 비즈니스온커뮤니케이션에 과징금 1억 3700만 원과 과태료 270만 원을 부과하고, 법령 준수와 재발방지를 위한 대책을 수립‧이행하도록 시정명령하는 한편, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. ■ 엔에이치엔위투:과징금 6,110만 원과 과태료 960만 원 부과, 공표 명령 엔에이치엔위투는 자사가 운영 중인 패션 분야 오픈마켓인 '가방팝' 쇼핑몰에 입점한 판매자를 위한 '판매자시스템'이 해커의 에스큐엘(SQL) 인젝션 공격을 받았고, 이로 인해 해당 시스템에서 보유한 53만4903건의 판매자 및 고객의 개인정보가 유출됐다. 유출 정보에는 회원의 주민등록번호도 포함된 것으로 확인됐다. 조사 결과, 엔에이치엔위투는 2022년 7월 시스템을 개편하면서 과거 거래내역 조회 및 고객응대 등을 위해 기존 판매자시스템도 함께 계속 운영했는데, 기존 시스템에 에스큐엘(SQL) 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고 웹방화벽을 비활성화한 상태로 운영해 개인정보가 유출됐다. 아울러, 엔에이치엔위투는 2013년 2월 기존 판매자시스템의 구 데이터베이스(DB)를 현행 데이터베이스(DB)로 이관하면서 개인정보 처리 목적이 달성된 구 데이터베이스(DB)를 파기하지 않았는데, 여기에는 법상 파기 대상인 주민등록번호가 계속 보관된 사실도 확인했다. 옛(구) 정보통신망법상 주민등록번호 법정주의 시행일('12.8.18.)로부터 2년 이내에 파기했어야 했다. 이에 개인정보위는 엔에이치엔위투에 과징금 6110만 원과 과태료 960만 원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 개인정보처리자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검하고, 시스템 개선 등으로 불필요한 개인정보가 포함돼 있는지 점검해 파기하도록 해야 한다고 개인정보위는 당부했다. 아울러 개인정보처리자가 에스큐엘(SQL) 인젝션 공격을 예방하기 위해 한국인터넷진흥원(KISA)에서 제공하는 '소프트웨어 보안약점 진단 가이드' 등 가이드라인을 참고할 것과, 필요하다면 '보안취약점 점검' 서비스도 활용할 것을 안내했다.
