‘블랙야크’ 34만 명 이용자 정보 유출…과징금 13억 여원

[앵커]

지난 3월 해킹으로 고객 34만 여명의 개인정보 유출 사실이 드러났던 유명 의류브랜드, 블랙야크에 대해 정부가 제재에 나섰습니다.

약 14억 원에 이르는 과징금을 부과하고 재발 방지를 요구했습니다.

황정호 기자가 보도합니다.

[리포트]

지난 3월 유명 의류 브랜드 '블랙야크' 운영사는 34만 2천여 명의 개인 정보를 유출했습니다.

유출된 개인정보는 이름과 생년월일, 주소 등입니다.

개인정보위는 개인정보보호법 위반으로 주식회사 '비와이엔블랙야크'에 과징금 13억 9,100만 원을 부과했습니다.

개인정보위 조사 결과, 이번 해킹 피해는 웹사이트 관리자의 계정 아이디와 비밀번호가 유출돼 시작됐습니다.

[고학수/개인정보보호위원회 위원장 : "(개인정보)보호 조치가 미흡하여 해킹 공격으로 개인정보가 유출된 사실을 확인하였습니다."]

이 과정에서 해커가 쓴 수법은 에스큐엘(SQL) 삽입 공격입니다.

웹사이트의 데이터베이스를 비정상적으로 조작한 뒤 이용자 34만 2천 여명의 정보를 탈취했습니다.

비와이엔블랙야크는 웹사이트를 개설한 뒤 해킹의 취약성을 제대로 점검하지 않은 데다 관리자 페이지의 외부 접속을 허용하면서 추가 인증 수단을 설정하지 않았습니다.

이와 함께 개보위는 교육 콘텐츠를 제공하는 '한국토픽교육센터'도 개인정보를 유출한 혐의로 과징금 2,300만 원을 부과했습니다.

지난해 3월 업체 웹사이트가 같은 수법으로 해킹당해 고객 8만 4천여 명의 이름과 연락처 등 개인정보가 텔레그램에 공개됐습니다.

업체는 유출 사실을 알고도 72시간 이내에 신고하지 않아 과태료 270만 원도 물게 됐습니다.

[이경호/한국랜섬웨어침해대응센터 수석연구원 : "(SQL 삽입 공격으로) 아무런 보완 조치를 안 했다면 모든 정보를 탈취할 수 있고요. 약간의 조치를 했다라고 하면, 여러 번의 시도를 통해서 관리자 계정을 탈취도 할 수 있다…."]

개인정보위는 흔한 기본적인 해킹 수법임에도 보안에 취약하다며 기업들의 보안 강화를 요구했습니다.

KBS 뉴스 황정호입니다.

영상편집:여동용