'자동차공임나라' 등 안전조치 의무 위반 3개 사업자 제재, 개인정보위웹셸(악성코드) 공격 예방 위한 주기적 보안점검, 파일 실행권한 제한
|
< ㈜와이엘랜드 >
한편, ㈜와이엘랜드는 인터넷망에서 관리자페이지에 접속하는 과정에서 2차 인증 및 아이피(IP) 주소 제한 등의 조치 없이 아이디(ID)와 비밀번호만으로 접근이 가능하도록 운영하여 해킹으로 이용자 개인정보(229,600명)가 탈취되었고, 개인정보 유출 통지를 지연한 사실과 보유 목적이 종료된 이용자의 개인정보를 파기하지 않은 사실을 확인하였다.
이번 유출 사고에서 주요 원인이 된 웹셸 파일 공격의 경우, 해킹 피해를 입은 대부분의 서버에서 웹셸 파일이 발견될 정도로 잘 알려진 웹 취약점 공격(웹 해킹의 90% 정도에서 사용되고 있는 공격 기법)이므로 이에 대한 각별한 주의·예방*이 필요하다.
아울러, 관리자페이지에 대해서는 2차 인증, 접속 아이피(IP) 주소 제한 등 접근 권한·통제를 강화하여 외부 공격에 의한 유출사고 예방에 노력을 기울여야 할 것이다.
* 웹셸 탐지 프로그램을 통한 파일 삭제, hwp·doc·pdf 등의 파일만 올리기가 가능하도록 확장자 제한 조치, 파일에 대한 실행권한 제한 등
※ 한국인터넷진흥원(KISA)은 웹셸 탐지 프로그램인 ‘휘슬’을 개발·배포(www.boho.or.kr)
사업자별 위반사항에 대한 행정처분 내용
연번 |
사업자명 |
위반 내용 |
위반 조항 |
시정조치(안) |
|
1 |
㈜자동차공임나라 |
?안전조치의무
※ 접근통제조치 소홀, DB 접속기록 미보관, 비밀번호를 안전하지 않은 방법으로 암호화
?개인정보의 파기
?개인정보 유출등의 통지·신고에 대한 특례 |
舊 보호법 §29 §21① §39의4① |
?시정명령 ?과징금 1,250만 원 ?과태료 1,080만 원 ?결과 공표 |
|
2 |
㈜오브콜스 |
?안전조치의무 ※ 접근통제조치 소홀, 비밀번호를 안전하지 않은 방법으로 암호화
?개인정보 유출등의 통지·신고에 대한 특례 |
舊 보호법 §29 §39의4① |
?과징금 3,371만 원 ?과태료 630만 원 ?결과 공표 |
|
3 |
㈜와이엘랜드 |
?안전조치의무
※ 접근통제조치 소홀
?개인정보의 파기
?개인정보 유출등의 통지·신고에 대한 특례 |
舊 보호법 §29 §21① §39의4① |
?시정명령 ?과징금 1억 5,098만 원 ?과태료 1,020만 원 ?결과 공표 |