방통위, 개인정보 유출 온라인 커뮤니티 ‘뽐뿌’에 과징금 1억200만원 부과

[온라인 커뮤니티 뽐뿌 홈페이지 화면]

 

아주경제 정광연 기자 =지난 9월 11일 홈페이지 해킹으로 195여만명의 회원정보가 유출된 온라인 커뮤니티 뽐뿌커뮤니케이션(이하 뽐뿌)에 대해 1억200만원의 과징금, 1500만원의 과태료 및 재발방지 대책을 수립․시행 등을 골자로 하는 시정명령이 부과된다.

방송통신위원회(위원장 최성준)는 20일(금) 전체회의를 개최해 △불법적인 접근을 차단․탐지하기 위한 접근통제 장치를 설치․운영하지 않은 행위 △접속기록의 위․변조방지를 위한 접속기록을 보관하지 않은 행위 △비밀번호 암호화 시 안전성 문제로 사용을 권고하지 않은 암호알고리듬(MD5)을 적용한 행위 등 개인정보보호를 위한 기술적․관리적 보호조치 의무를 위반한 뽐뿌에 대해 위와 같은 시정조치를 위결했다.

MD5(Message-Digest algorithm 5)는 지난 1996년과 2004년에 심각한 암호화 결함이 발견돼 현재는 보안관련 용도로 사용을 권고하지 않고 있다.

그동안 방통위는 해킹사고 당일인 지난 9월 11일부터 미래부와 공동으로 ‘민․관합동조사단’을 구성해 뽐뿌의 해킹경로 파악 및 개인정보 취급·운영 실태에 대한 현장조사를 진행해 왔다.

뽐뿌에 남아있는 웹 서버 및 개인정보처리시스템 접속기록 등을 분석한 결과, 미상의 해커는 뽐뿌 홈페이지 중 취약한 웹페이지를 대상으로 SQL 인젝션 공격을 통해 195여만건의 아이디, 암호화된 비밀번호, 생년월일, 이메일 등 8개 항목을 유출한 것으로 확인됐다.

SQL(Structured Query Language) 인젝션은 데이터베이스 질의어를 조작해 해커가 원하는 자료를 유출해가는 사이버 공격기법이다.

이번 개인정보 유출사고의 주요 원인은 정보통신망법 제28조제1항에 따른 기술적․관리적 보호조치 중 △개인정보처리시스템에 불법적인 접근을 차단․탐지하기 위한 침입차단 및 침입탐지 시스템 등 접근 통제장치를 설치․운영하지 않은 부분이다.

또한 △취급중인 개인정보가 인터넷홈페이지 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취해야 하지만 이에 대한 보호조치 미비로 인한 것으로 확인됐다.

한편, 방통위는 지난 6월 국민 생활 밀접분야인 알뜰폰 및 스마트폰앱 서비스 사업자에 대해 기획조사를 실시한 결과, 개인정보처리시스템에 대한 기술적․관리적 보호조치를 위반한 8개 사업자에 대해서도 총 8000만원의 과태료를 부과했다.

최성준 방통위원장은 “이번 제재를 계기로 개인정보보호시스템의 설치․운영 등을 통해 안전하고 체계적으로 개인정보관리를 해야 한다”고 강조하면서 “이제는 정보보호에 대한 투자가 선택이 아닌 필수조건임을 인식하는 전환점이 되길 기대한다”고 밝혔다.