개인정보보호위원회가 개인정보보호 법규를 위반한 모두투어네트워크에 과징금 7억4700만원과 과태료 1020만원을 부과하고 공표 명령 및 개선 권고를 결정
사건 경위
- 신원미상의 해커는 지난해 6월 모두투어네트워크가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드
- 이를 통해 해커는 해당 파일에 존재하는 악성코드를 실행하해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취
- 조사 결과 모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증·실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 조치 미흡
- 모두투어네트워크는 2013년 3월부터 수집한 비회원 316만여건(중복 포함)의 개인정보를 보유기간이 경과됐음에도 파기하지 않고 보유하고 있어, 대규모 유출에 영향
- 지난해 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 9월에야 개인정보 유출사실을 통지한 것도 개인정보 침해 우려를 키우게 된 한 원인으로 보인다고 개인정보위는 지적
※ 웹셸 공격: 특정 웹사이트의 파일 업로드 취약점을 악용해 악성코드를 삽입·실행하는 방식으로, 관리자 권한을 탈취하고 개인정보를 빼내는 해킹 기법
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11056
'정보보안 > 처벌 및 징계' 카테고리의 다른 글
| 고객 개인정보로 불법 대출 받은 휴대전화 대리점 직원 구속 (0) | 2025.03.31 |
|---|---|
| 우리카드, 개인정보보호법 위반 134억 과징금 (0) | 2025.03.27 |
| '메타에 67억 과징금 부과' 개인정보위원회 최종 승소 (0) | 2025.03.14 |
| 수험생 번호 알아내 "마음에 든다" 연락한 수능감독관 무죄 (0) | 2025.02.26 |
| 캘리포니아 대규모 개인정보 유출 '내셔널 퍼블릭 데이터'에 벌금 부과 (0) | 2025.02.21 |