개인정보위, '34만명 개인정보 유출' 블랙야크에 과징금 13억

비와이엔블랙야크가 안전조치 소홀로 약 34만명의 개인정보를 유출해 10억원대의 과징금 처분을 받았다.

개인정보보호위원회는 지난 9일 제15회 전체회의를 열고, 개인정보 보호 법규를 위반한 블랙야크에 과징금 13억9100만원 부과와 함께 공표 명령을 의결했다.

블랙야크는 지난 3월 1~4일 해커의 공격을 받아 이용자 34만2253명의 개인정보를 탈취당했다. 해커는 블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격 기법을 사용해 관리자 계정 정보를 탈취한 뒤, 관리자 페이지에 로그인 후 이용자 정보를 빼갔다.

조사 결과, 블랙야크는 웹사이트를 개설한 2021년 10월부터 에스큐엘(SQL) 삽입 공격 취약점에 대한 점검·조치를 소홀히 했다. 재택근무 등 외부에서 관리자 페이지에 접속이 가능했으나 계정정보(아이디·비밀번호)를 통한 로그인 이외에 별도의 안전한 인증수단을 적용하지 않았다.

개인정보위는 또 한국토픽교육센터에 과징금 2300만원 과태료·270만원을 부과하고 공표 명령을 내렸다. 한국토픽교육센터 역시 SQL 삽입 공격을 받아 이용자 8만4085명의 개인정보를 유출했다. 조사 결과, 취약점 점검·조치를 소홀히 했으며, 개인정보취급자의 개인정보처리시스템 접속기록 보관·관리도 하지 않았다. 개인정보 유출을 인지하고 정당한 사유 없이 통지 기한(72시간)을 넘겨 유출을 알린 사실도 확인됐다.

아울러 개인정보위는 개인정보 침해 우려가 있는 175개 아이피(IP)카메라 운영자에 대해 경고 조치도 의결했다.

이들 175개 운영자는 영상정보처리기기인 네트워크 비디오 레코더(NVR)의 IP주소를 '공개'로 설정해 외부접속을 허용했다. 또 관리자 계정(아이디·비밀번호)을 'admin·1234', 'root·pass' 등 추측하기 쉬운 단순한 형태로 설정했다.

개인정보위는 국내 유통 IP카메라를 대상으로 한 점검 결과도 발표했다. 정식 발매 제품은 비밀번호 설정·변경, 특정 IP 접속차단 등 기본적인 보호기능을 제공하고 있으나, 해외 직구로 유통되는 제품은 전반적으로 미흡한 것으로 드러났다.

향후 개인정보위는 주요 다중이용시설에 대한 IP카메라 보안 관련 실태점검 등도 적극 추진할 방침이다.

이 밖에도 개인정보 처리 방침이 미흡한 '사기피해 조회 서비스' 더치트에 과태료 480만원과 시정조치를, '세무 애플리케이션' 토스인컴(세이브잇), 지앤터프라이즈(1분), 자비스앤빌런즈(삼쩜삼)엔 개선권고를 내렸다.

조재학 기자 2jh@etnews.com