개인정보보호위원회(이하 개인정보위)가 25일 제14회 전체회의를 열고, 개인정보 보호 법규를 위반한 두 개 사업자에 대해 총 1억3720만 원의 과징금과 1320만 원의 과태료를 부과하기로 의결했다고 26일 밝혔다.

제재 대상은 한국인정지원센터와 TELUS International AI Ltd.(이하 텔루스)로, 각각 웹 보안 미흡과 개인정보 유출, 법적 파기 의무 위반 등의 사유가 지적됐다.

한국인정지원센터, SQL 삽입 공격으로 2만여 명 개인정보 유출

한국인정지원센터는 2023년 1월, 홈페이지 회원의 개인정보가 깃허브와 텔레그램 등에 유출된 사실을 인지하고 이를 개인정보위에 신고했다. 조사 결과, 데이터베이스 명령어 삽입 공격을 통해 해커가 홈페이지 회원 2만1234명의 개인정보를 유출한 것으로 확인됐다. 유출된 정보에는 이름, 아이디, 비밀번호, 휴대폰번호, 주소, 생년월일, 주민등록번호 등이 포함됐다.

개인정보위는 해당 기관이 게시판 등에서 사용자 입력값에 대한 검증 절차 없이 데이터를 처리해 SQL 삽입 공격을 방지하지 못했으며, 관리자 로그인 시 이중 인증 등 안전조치도 미비했다고 지적했다.

특히 2001~2014년 수집된 주민등록번호를 법정 파기기한인 2016년까지 삭제하지 않고 보관하다가 이번에 유출된 점도 중대한 위반사항으로 판단됐다.

이에 따라 개인정보위는 한국인정지원센터에 과징금 5520만 원과 과태료 600만 원을 부과, 해당 사실을 위원회 홈페이지에 공표하도록 했다.

텔루스, 관리자 권한 미확인으로 68만여 명 정보 유출

캐나다 통신 기업 TELUS의 자회사인 텔루스는 AI 학습 데이터 지원 플랫폼을 운영하는 글로벌 기업이다. 그러나 2023년 해당 플랫폼이 해킹되어 국내 1만3622명, 전 세계 약 68만 명의 개인정보가 유출되는 사고가 발생했다.

조사에 따르면, 텔루스는 플랫폼 기능 개선 과정에서 보안 점검을 소홀히 하였고, 이로 인해 관리자 권한 확인 절차가 누락되어 해커가 일반 사용자 계정으로 전체 데이터에 접근하는 접근 제어 오류가 발생한 것으로 드러났다.

또한, 개인정보 유출 사실을 2023년 11월 2일 인지했음에도 불구하고, 법정기한인 72시간을 넘긴 11월 14일에 신고, 12월 8일에야 이용자에게 개별 통지한 점도 문제로 지적됐다.

개인정보위는 텔루스에 과징금 8200만 원과 과태료 720만 원을 부과하기로 결정했다.

개인정보위는 이번 사건을 통해 개인정보를 처리하는 모든 사업자가 서비스 개발·운영 시 정기적인 보안 취약점 점검과 예방 조치가 필수적임을 강조했다. 

특히 SQL 삽입 공격이나 접근 제어 오류와 같은 널리 알려진 웹 보안 취약점에 대해 각별한 주의와 사전 조치가 요구된다고 당부했다.

[경제엔미디어=장민철 기자]