[시민일보 = 박소진 기자]안전장치를 마련하지 않고 10여년 전 수집한 주민등록번호를 파기하지 않고 보관하다가 해킹당해 수만명의 개인정보와 함께 유출한 한국인정지원센터에 과징금이 부과됐다.

개인정보보호위원회는 26일 경영시스템 인증기관 인정평가와 품질평가자 교육을 수행하는 비영리법인인 한국인정지원센터에 대해 개인정보보호법 위반으로 과징금·과태료를 부과하고 해당 사실을 공표할 것을 전날 전체회의에서 의결했다고 밝혔다.

앞서 한국인정지원센터는 2023년 1월 깃허브와 텔레그램을 통해 자사 홈페이지 회원의 개인정보가 공개된 사실을 확인하고 개인정보위에 유출을 신고했다.

해커는 데이터베이스 명령어(SQL) 삽입 공격으로 홈페이지 회원 2만 1234명의 개인정보를 해킹했으며, 유출된 정보에는 이름, 아이디, 비밀번호, 휴대전화번호, 주소, 생년월일, 주민등록번호 등이 포함됐다.

데이터베이스 명령어 삽입 공격은 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 'SQL문'을 주입하고 데이터베이스(DB)를 장악한 뒤 개인정보를 빼가는 수법이다.

조사 결과, 한국인정지원센터는 홈페이지 게시판 등에 이용자가 입력하는 정보에 대한 검증 절차를 마련하지 않아 데이터베이스 명령어 삽입 공격을 막지 못한 것으로 확인됐다.

아울러 관리자가 홈페이지에 접속할 때도 일회용 비밀번호와 같은 안전한 인증수단을 적용하지 않았다.

또한, 이들은 2001~2014년 수집한 회원의 주민등록번호를 파기하지 않고 계속 보관하다 이번에 같이 유출됐다.

2014년 주민등록번호 법정주의가 시행되면서 한국인정지원센터처럼 법령상 근거가 없는 경우에는 주민등록번호를 수집·이용할 수 없고, 이미 수집한 주민등록번호를 2016년까지 파기했어야 한다.

이에 개인정보위는 한국인정지원센터에 과징금 5520만원과 과태료 600만원을 부과하고 처분받은 사실을 개인정보위 홈페이지에 공표하도록 했다.

같은 날 전체회의에서는 인공지능(AI) 학습데이터 프로젝트를 지원하는 글로벌 기업인 텔루스에 대한 처분도 이뤄졌다.

앞서 텔루스는 2023년 해킹으로 한국에서 1만3622명, 전 세계에서 약 68만명의 개인정보를 유출했다.

개인정보위 조사에 따르면 텔루스는 플랫폼 기능 개선 과정에서 보안 취약점 점검을 소홀히 했고 관리자 권한을 확인하는 절차를 누락했다.

이 때문에 해커는 일반 이용자로 로그인해 전체 이용자의 데이터에 접근할 수 있었다.

텔루스는 2023년 11월 2일 개인정보 유출을 인지했지만, 신고는 같은 달 14일에 했으며, 이용자에 대한 개별 통지도 약 한달이 지난 2023년 12월8일에 진행했다.

관련법에 따라 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 한다.

이에 개인정보위는 텔루스에 과징금 8천200만원과 과태료 720만원을 부과하기로 했다.

개인정보위는 "개인정보를 처리하는 사업자는 서비스 개발·운영 시 주기적으로 보안 취약점을 점검·개선해야 한다"며 "특히 DB 명령어 삽입 공격 등 잘 알려진 웹 보안 취약점을 예방하기 위한 조치와 지속적인 주의가 필요하다"고 당부했다.

 

[ⓒ 시민일보. 무단전재-재배포 금지]