개인정보위, 안전조치 의무 위반 3개사에 과징금 1억7760만원

박지혜 기자 | pjh@newsprime.co.kr | 2025.11.21 11:26:13

[프라임경제] 개인정보보호위원회(이하 개인정보위)는 지난 20일 제23회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 1억7760만원의 과징금과 540만원의 과태료를 부과하고, 그 결과를 공표할 것을 의결했다고 21일 밝혔다.

송경희 개인정보보호위원회 위원장이 지난 20일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제23회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. ⓒ 개인정보보호위원회

이들 3개 사업자는 모두 에스큐엘(SQL) 삽입 공격으로 회원 정보가 유출됐다. 웹사이트 취약점을 이용해 악의적인 SQL(데이터베이스 명령어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.

3개사 과징금 내역을 보면 이젠에 6060만원과 과태료 540만원이 부과됐다.

이젠은 2021년 8월부터 작년 8월까지 3년간 홈페이지 대상 SQL 삽입 공격으로 회원 6만9930명의 개인정보가 유출돼 텔레그램에 게시됐고, 이 중 3만5454명은 암호화되지 않은 주민등록번호가 유출됐다.

조사 결과 이젠은 SQL 삽입 공격에 대한 취약점 점검·조치 및 개인정보 유출 시도 탐지·차단을 소홀히 한 사실이 있으며, 주민등록번호 암호화 조치 미흡, 개인정보 유출통지 및 신고를 지연한 사실도 확인됐다.

더존하우징은 과징금 5580만원을 부과받았다. 더존하우징은 2023년 12월 해커의 SQL 삽입 공격으로 회원 3만3879명의 개인정보가 유출돼 텔레그램에 게시됐다.

조사 결과 더존하우징은 SQL 삽입 공격을 사전에 탐지·차단하는 시스템을 운영하지 않고 취약점에 대한 점검·조치를 미흡하게 한 사실이 확인됐다. 회원 비밀번호에 대한 암호화 조치 미흡, 데이터베이스(DB) 접속기록 관리 소홀 등도 추가로 파악됐다.

레저플러스에는 과징금 6120만원이 부과됐다. 레저플러스는 두 차례에 걸친 SQL 삽입 공격으로 회원 16만807명의 개인정보가 유출됐다.

조사 결과 레저플러스는 SQL 삽입 공격 취약점 관리를 소홀히 했고 개인정보 유출 시도를 사전에 탐지하지 못한 것이 드러났다. 또 회원 비밀번호에 대한 암호화 조치가 미흡했던 것으로 나타났다.

개인정보위는 "SQL 삽입 공격은 매우 잘 알려진 웹 취약점 공격 방식으로, 많은 정보가 저장된 DB가 직접 공격받는다는 점에서 대량의 개인정보 유출로 이어질 위험성이 높아 예방을 위한 사업자의 특별한 주의가 당부된다"고 말했다.

이어 "이번 조사 결과를 바탕으로 사업자 대상 SQL 삽입 공격 예방 수칙을 마련·제공하고 자체적으로 점검할 수 있도록 지속적으로 안내할 계획"이라고 덧붙였다.

박지혜 기자 pjh@newsprime.co.kr

인사이드컷