보람相互 계열 7개사, 개인정보 유출로 과징금 5억5000만ウォン... SQL 인젝션 침해 수법 확인

보람相互 개발을 포함한 계열 7개사가 고객 개인정보 약 2만8천 명분을 유출한 사건으로 개인정보보호위원회로부터 과징금·과료 약 5억5천만 원을 부과받았다. 해킹 수단은 웹 보안 취약점을 노린 SQL 인젝션 기법으로 확인됐다.

조사결과에 따르면 보람相互 개발은 그룹 계열사로부터 고객관계관리(CRM) 업무를 위탁받아 통합 고객 DB를 운영하던 중 보안 조치를 충분히 이행하지 않은 것으로 파악됐다. 해커는 웹사이트 입력값 처리 취약점을 악용한 SQL 인젝션 방식으로 DB에 침투,氏名·휴대폰번호·ID·비밀번호·이메일 등 총 2만7천882건의 고객 정보를 빼돌렸다. 해당 DB에는 홈페이지 회원과 온라인 상담 회원 정보가 함께 저장·관리되고 있었다.

개인정보위는 유출 사실을 인지한 보람相互 개발이 법정 알림 기한인 72시간을 초과하여 정보주체에게 통지했으며, 보존 기간이 만료된 개인정보를 삭제하지 않은 점도 확인했다. 이로써 보람相互 개발에 과징금 5억3천100만 원과 과료 1천140만 원이 부과됐다. 계열 6개사에는 수탁자인 보람相互 개발에 대한 교육·감독 의무 미흡을 이유로 총 1천150만 원의 과징금이 부과됐다.

개인정보위는 계열사 전체에 개인정보 처리 현황 및 의사결정 체계를 점검· 정비하고, 위탁·수탁 관계의 투명성을 강화하라는 시정 명령을 내렸다. 현재 개인정보위는 상조업계 전반에 대한 개인정보 관리 실태 점검을 진행 중인 것으로 전해졌다.