[데이터넷] SQL 인젝션 공격으로 고객정보를 탈취당한 백패커가 개인정보보호위원회로부터 2억2789만원의 과징금과 360만원의 과태료를 부과받았다. 백패커는 핸드메이드 제품 판매 중개와 오프라인 클래스 예약 웹사이트를 운영하는 기업으로, 개인정보 안전조치 의무를 소홀히 해 이러한 조치를 받았다.

SQL 인젝션은 홈페이지 취약점을 이용해 악의적인 SQL을 실행시켜 데이터베이스에 접근하는 가장 흔하게 발생하는 웹 기반 공격이다. SQL 인젝션은 취약점 탐지·차단으로 충분히 방어할 수 있는 공격인데, 이로인해 고객정보를 유출당했다.

개인정보위는 SQL 인젝션 공격 차단을 위해 화이트리스트 방식으로 허용된 값 또는 미리 정의된 쿼리만을 허용하며, 웹방화벽을 설치해 웹 보안을 강화하고, DB 접근권한 최소화 등의 조치를 취할 것을 권고했다. 그리고 한국인터넷진흥원(KISA) 가이드라인을 참고하고, 보안 취약점 점검과 소프트웨어 보안 약점 진단 등의 서비스를 활용해 보안을 강화할 것을 당부했다.

한편 개인정보위는 샤넬코리아에 360만원의 과태료를 부과하기도 했다. 샤넬코리아는 매장 입장을 원하는 구매자와 동행인 등 대기고객에게 생년월일, 거주지역과 국가 정보를 요구했으며, 이를 제공하지 않으면 매장 입장이 불가능하도록 해 목적에 필요한 범위를 벗어난 개인정보 수집으로 과태료 처분을 받았다.

개인정보위 관계자는 “사업자들은 서비스에 꼭 필요한 최소한의 개인정보만 수집해야 하며, 수집 목적과 관계없는 개인정보 제공에 미동의한다는 이유로 고객에게 서비스 제공을 거부해서는 안 된다”고 강조했다.

김선애 기자 다른기사 보기