SBS Biz

[고학수 개인정보보호위원회 위원장이 9일 서울 종로구 정부서울청사에서 열린 제15회 전체회의에서 발언하고 있다.  (사진=연합뉴스)]

등산용품 기업인 블랙야크가 해킹을 당해 고객 개인정보 수십만건을 유출했다가 13억원대 과징금을 물게 됐습니다. 


   
개인정보보호위원회는 9일 전체회의를 열어 개인정보보호법을 위반한 ㈜비와이엔블랙야크(블랙야크)에 과징금 13억9천100만원을 부과하고, 이를 공표하도록 명령했다고 10일 밝혔습니다. 
   
개인정보위에 따르면 해커는 올해 3월 1∼4일 블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도해 관리자 계정 정보(아이디·비밀번호)를 빼냈습니다.


 
이어 탈취한 계정 정보로 관리자 페이지에 로그인한 뒤 34만2천53명의 개인정보를 빼내 간 것으로 파악됐습니다. 
   
해커가 탈취한 이용자 개인정보는 이름과 성별, 생년월일, 휴대전화 번호, 주소 일부 등입니다. 

조사결과 블랙야크는 자사 웹사이트를 개설한 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했습니다.
   
특히 재택근무 등으로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았습니다.