블랙야크 해킹당해 개인정보 34만 건 유출…과징금 13억 9천만 원

등산용품 기업인 블랙야크가 해킹을 당해 고객 개인정보 수십만 건을 유출당했다가 13억 원대 과징금을 물게 됐습니다.

개인정보보호위원회는 9일 전체회의를 열어 개인정보보호법을 위반한 ㈜비와이엔블랙야크(블랙야크)에 과징금 13억 9천100만 원을 부과하고, 이를 공표하도록 명령했다고 오늘(10일) 밝혔습니다.

개인정보위에 따르면 해커는 올해 3월 1∼4일 블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도해 관리자 계정 정보(아이디·비밀번호)를 빼냈습니다.

이어 탈취한 계정 정보로 관리자 페이지에 로그인한 뒤 34만 2천53명의 개인정보를 빼내 간 것으로 파악됐습니다.

해커가 탈취한 이용자 개인정보는 이름과 성별, 생년월일, 휴대전화 번호, 주소 일부 등입니다.

조사결과 블랙야크는 자사 웹사이트를 개설한 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했습니다.

특히 재택근무 등으로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았습니다.

개인정보위는 블랙야크와 유사한 SQL 삽입 해킹 공격을 받아 이용자 8만 4천85명의 개인정보를 유출한 온라인 교육콘텐츠 업체 한국토픽교육센터에도 과징금 2천300만 원과 과태료 270만 원을 부과했습니다.

처분내용 공표도 명령했습니다.

(사진=연합뉴스)