SBS Biz

악성코드로 인해 이름과 생년월일, 핸드폰번호, 아이디 등의 고객 정보를 무더기로 유출한 모두투어가 개인정보보호위원회로부터 7억 원대 과징금 처분을 받았습니다. 

개인정보위는 12일 제6회 전체회의를 열고 개인정보 보호 법규를 위반한 여행사 모두투어의 운영 사업자 ㈜모두투어네트워크에 대해 7억4천700만 원의 과징금과 1천20만 원의 과태료 부과 처분을 내렸습니다.



또 모두투어 측에 고객 개인정보를 소홀히 해 당국으로부터 제재를 받은 사실을 고객들에게 알리고 안전조치 의무 등을 마련하라고 권고했습니다. 

개인정보위는 지난해 7월 모두투어 측의 개인정보 유출 신고에 따라 현장 조사를 실시한 결과, 개인정보 보호법에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실을 확인했다고 밝혔습니다. 

개인정보위가 공개한 개인정보 유출 과정을 살펴보면 신원미상의 해커는 지난해 6월 모두투어가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했고, 해당 파일에 존재하는 악성코드를 실행시켜 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여 명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취했습니다.

웹셸 공격은 특정 웹페이지의 파일 업로드 취약점(파일 업로드 기능을 이용해 비정상적인 스크립트 파일 등을 실행)을 통해 시스템에서 실행가능한 악성코드를 삽입 및 실행하여 관리자 권한 획득, 개인정보 탈취 등을 행하는 공격 기법을 말합니다. 



그러나 모두투어 측은 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했음에도 이를 소홀히 했던 것으로 드러났습니다.

아울러, 개인 정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌습니다. 

모두투어는 또 2013년 3월부터 수집한 비회원 개인정보 316만여 건(중복 포함)을 보유 기간이 지났음에도 파기하지 않고 보유 하고 있어, 대규모 유출에 영향을 끼친 것으로 파악됐습니다. 

특히, 지난해 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 9월에야 개인정보 유출 사실을 통지한 것도 개인정보 침해 우려를 키운 원인이라고 개인정보위는 지적했습니다. 

개인정보위는 이번 유출 사고에서 주요 원인이 된 웹셸 공격은 잘 알려진 웹 취약점 공격이지만 DB에 접근이 가능하여 피해 정도가 큰 특징을 가지고 있는 만큼, 개인정보 탈취 위험에 대한 사전 탐지·차단 정책 강화 및 파일 업로드 취약점 점검·조치 등에 각별한 주의와 예방이 필요하다고 강조했습니다. 

또한, 대규모 개인정보 처리 사업자는 보유기간 경과, 처리목적 달성 등 수집한 개인정보가 불필요하게 되었을 때는 이를 지체없이 파기하여 혹시 모를 개인정보 유출사고 발생 시 피해규모를 최소화해야 한다고 덧붙였습니다. 

아울러, 정보 주체의 2차 피해 예방 등을 위해 개인정보 유출 사실 인지 즉시 통지가 이루어질 수 있도록 내부 개인정보 보호 체계를 정비할 것을 당부했습니다.