한국 고객 1200명 이상의 이름, 카드정보 등을 유출한 호텔 예약 플랫폼 ‘호텔스컴바인’이 과징금 9450만원과 과태료 1600만원을 내게 됐다. 회원 개인정보 13만건을 유출한 머니투데이방송도 과징금 6778만원과 과태료 1140만원을 부과받았다.
개인정보보호위원회는 26일 제11회 전체회의를 열어 이같은 내용을 의결했다고 27일 밝혔다.
위원회에 따르면 숙박 예약 서비스와 여행 정보를 제공하는 업체 ‘호텔스컴바인’은 시스템을 설계할 때 보안에 문제가 있었다. ‘예약정보’만 조회하도록 설정된 접근권한만으로 ‘카드정보’까지 조회하는 계정을 추가로 생성할 수 있었던 것이다.
이 틈을 노린 해커는 피싱 수법으로 아이디와 비밀번호를 탈취해 호텔스컴바인 시스템에 접속한 뒤 카드정보에 접근할 수 있는 계정을 생성했다. 그 결과 한국 이용자 1246명의 이름, 이메일 주소, 호텔 예약정보, 카드정보가 2019년 유출됐다.
당시 적용된 옛 개인정보보호법은 개인정보 유출을 알게 된 후 24시간 이내에 위원회에 신고하고, 이용자에게도 통지해야 한다고 규정했다. 호텔스컴바인은 이 기한을 넘겨 ‘늑장 신고·통지’한 사실도 확인돼 과태료도 부과받았다.
머니투데이방송은 운영하던 광고 공모전 사이트에서 해커의 ‘SQL인젝션 공격’으로 관리자 계정과 회원 개인정보 13만3633건을 2022년 9월 유출했다.
SQL인젝션 공격은 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 ‘SQL문’을 주입하고 데이터베이스를 장악한 뒤 개인정보를 빼가는 수법이다.
머니투데이방송은 공격을 막기 위한 ‘입력값 검증’을 하지 않았고, 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않았다고 한다.
탈퇴한 회원의 정보를 파기하지 않고 보관한 사실과 정보주체에게 유출 사실을 뒤늦게 통지한 점도 함께 확인됐다.