네오팜 및 일학 개인정보 유출 과징금 부과

네오팜

 

개인정보보호위원회 쇼핑몰 해킹으로 약 30만 명의 개인정보가 유출된 네오팜(092730)에 1억 원대의 과징금 부과

 

사고 내용

• 해커는 지난해 8월 5일부터 약 2주 간 쇼핑몰 웹 관리자 페이지에 750여 회 접근해 회원정보를 조회 및 다운로드
• 법으로 빼낸 회원 연락처를 통해 약 44만 건의 불법 문자도 발송

 

처벌 내용

• 개인정보위는 네오팜이 개인정보처리 시스템인 웹 관리자 페이지에서 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인이 가능하도록 해 안전조치의무를 위반
• 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등도 제한하지 않음
• 개인정보취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리도 소홀
• 유출된 이용자 대상으로 개인정보 유출 통지를 지연한 사실도 확인

 

일학

 

개인정보위는 마찬가지로 해킹으로 낚시용품 쇼핑몰 회원의 개인정보가 유출된 일학에 대해서도 과징금 1800만 원과 과태료 360만 원을 부과

 

사고 내용

• 지난해 12월 해커의 에스큐엘(SQL) 삽입 공격을 받아 개인정보가 유출
•  SQL 삽입 공격은 웹사이트의 취약점을 이용해 데이터베이스 조회 등을 위해 사용하는 프로그램 언어인 SQL문을 실행되게 하는 공격

 

처벌 내용

• 웹 관리자 페이지 로그인 시 안전한 인증수단을 적용하지 않았고 해킹 방지를 위한 침입 탐지·차단 시스템 운영도 부실
• 비밀번호 암호화 미조치 등 안전조치의무 위반

 

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10701