<이미지를 클릭하시면 크게 보실 수 있습니다>

개인정보보호위원회가 NHN커머스에 대해 “방치된 구형 솔루션에서 개인정보가 유출됐다”며 과징금 870만 원과 과태료 450만 원 등을 처분했다.

개인정보위는 전일 제2회 전체회의를 열고 개인정보 보호 법규를 위반한 NHN커머스에 이 같은 제재와 함께 공표명령을 의결했다고 29일 밝혔다. NHN커머스는 쇼핑몰 구축을 원하는 이용사업자들에게 서비스형소프트웨어(SaaS) 방식의 ‘e나무’ 솔루션을 제공하는 회사다.

개인정보위 조사 결과 ‘e나무’ 솔루션의 장바구니 관련 웹페이지에서 지난 2024년 9월 SQL 인젝션 공격으로 17개 이용사업자 홈페이지에서 총 122건의 주문자 개인정보가 유출되는 사고가 발생했다. SQL 인젝션 공격이란 공격자가 데이터베이스(DB) 질의어(SQL쿼리)를 비정상 조작하여 권한 없는 정보에 접근할 수 있는 해킹 기법을 뜻한다.

이번에 문제가 발생한 ‘e나무’의 해당 솔루션은 서비스를 개시한지 약 10여년이 지난 구형 솔루션으로 기술지원 및 보안관리가 제대로 이루어지지 못했다. 대부분의 이용사업자가 차세대 솔루션으로 이전을 완료했으나, 소수의 영세 이용사업자들이 홈페이지 이전·재구축을 하지 못하고 기존의 ‘e나무’ 솔루션을 계속 이용하던 중 이번 개인정보 유출 사고가 발생했다고 개인정보위는 설명했다.

개인정보위에 따르면 NHN커머스는 웹페이지의 개발주체 및 서버 운영주체로서 SQL 인젝션 공격의 발생 사실과 유출된 개인정보의 범위·내용을 즉시 확인하고 개인정보위에 대한 유출 신고를 72시간 내 완료했다. 다만 이용사업자들에게 일회성으로 이메일·전화를 발송했을 뿐 통지가 제대로 도달했는지를 확인하지 않았다.

아울러 NHN엔커머스는 상황을 인식하지 못한 일부 이용사업자들이 있음을 인지하고 있었고, 개인정보가 유출된 정보주체의 연락처를 알았음에도 직접 유출통지를 하는 등의 후속조치를 취하지 않아 결국 정보주체에 대한 유출 통지가 72시간 내 이루어지지 않은 결과를 초래했다고 개인정보위는 밝혔다.

개인정보위는 과징금·과태료와 함께 ‘e나무’ 솔루션의 기존 이용사업자 중 웹사이트를 계속 운영하려는 자에게는 대체 솔루션을 제공하고 해당 이용사업자의 웹사이트 이관 작업을 지원할 것을 개선권고했다. 개인정보위는 “대형 수탁자가 역할에 걸맞은 개인정보 보호조치를 이행해야만 영세 소상공인을 포함한 다수 이용사업자들의 보안 수준 또한 달성될 수 있다”고 강조했다.

양지혜 기자 hoje@sedaily.com

[ⓒ 서울경제, 무단 전재 및 재배포 금지]