UPDATED. 2022-08-16 15:38 (화)
"언제적 해킹 기법인데"… 웹쉘 공격에 개인정보 털렸다
"언제적 해킹 기법인데"… 웹쉘 공격에 개인정보 털렸다
  • 박광하 기자
  • 승인 2022.06.08 19:26
  • 댓글 0
이 기사를 공유합니다

개인정보보호위원회
법규 위반 기업 3곳 제재
과징금 3700만원 부과
윤종인 개인정보위 위원장이 제10회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. [사진=개인정보위]
윤종인 개인정보위 위원장이 제10회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. [사진=개인정보위]

[정보통신신문=박광하기자]

고전적인 해킹 수법으로 개인정보가 유출된 기업들이 과징금, 과태료 부과 처분을 받았다. 이들 기업이 적절한 사이버보안 조치를 했더라면 해킹 피해를 막을 수 있었다.

개인정보보호위원회는 6월 8일 제10회 전체회의를 열고, 개인정보보호 법규를 위반한 3개 사업자에 총 3700만원의 과징금과 2140만원의 과태료를 부과하기로 결정했다.

이번 조사는 해당 사업자들이 한국인터넷진흥원에 개인정보 유출 사실을 신고함에 따라 진행됐다.

조사 결과, ㈜위더스교육, ㈜뉴지스탁, ㈜창비는 웹쉘(Web Shell)과 에스큐엘 주입(SQL Injection) 공격 등 해킹으로 인해 개인정보가 유출된 것으로 확인됐다.

웹쉘 공격은 해커가 시스템에 명령을 내릴 수 있는 코드를 웹서버 취약점을 통해 서버에 업로드한 다음 실행시켜 해당 웹서버를 원격으로 조종하는 공격 기법이다.

에스큐엘 주입은 데이터베이스(DB)에 대한 질의값을 조작해 해커가 원하는 자료를 DB로부터 빼내는 수법이다.

위더스교육은 온라인으로 원격평생교육원 서비스를 제공하고 있으나, 파일을 온라인에 올릴 때 보안 취약사항 점검을 제대로 하지 않았다. 이 때문에 웹쉘에 의한 해킹 공격을 당해 수강생의 이름, 연락처 등 개인정보가 유출됐다. 또한 침입탐지·차단 시스템을 소홀하게 운영했으며, 탈퇴한 이용자 개인정보를 즉시 파기하지 않았다. 1년 이상 장기 미이용자의 개인정보를 다른 이용자의 개인정보와 분리해 별도로 보관하지도 않았다.

주식 데이터분석 서비스 제공업체인 뉴지스탁 역시 웹사이트의 자유게시판을 대상으로 보안관련 취약사항 등을 점검하지 않아, 웹쉘에 의한 해킹 공격으로 이용자 연락처 등 개인정보가 유출됐다.

온라인 도서 사이트를 운영하는 창비는 SQL 질의명령문(query)과 같은 웹사이트 입력값에 대한 검증을 소홀히 해 개인정보가 타인에게 노출됐으며, 개인정보 취급자의 접속기록을 남기지 않는 등 개인정보의 기술적·관리적 보호조치 의무를 다하지 않았다. 또한, 개인정보처리시스템을 운영하면서 안전한 인증수단을 적용하지 않았고 1년 이상 장기 미이용자의 개인정보를 파기 또는 분리해 별도로 보관하지 않은 사실도 확인됐다.

양청삼 개인정보위 조사조정국장은 "비대면 활동의 비약적인 증가와 맞물려 해커의 공격으로 인한 개인정보 유출 사고가 지속적으로 발생하고 있다"라며 "사업자는 보안 취약점을 주기적으로 확인해 개인정보처리시스템에 대한 불법적인 접근이 발생하지 않도록 하고, 안전조치 의무를 준수하고 있는지 상시 점검해야 한다"라고 강조했다.

정보보호산업계에 따르면, 웹 상에서의 해킹 위협을 방어하기 위해서는 웹방화벽(WAF) 등의 정보보호제품 설치·운영이 필요하다. 또한 서버, 웹사이트에 대한 정기적인 취약점 점검이 요구된다. 이 밖에도, 웹사이트 개발 시 소스코드단에서 시큐어 코딩을 적용하는 것이 바람직하다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행·편집인 : 문창수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-08-16
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트