‘쿠팡 정보 유출’사태가 큰 파장을 일으키고 있는 가운데 최근 일부 치과 업체에서도 회원 정보가 유출된 것으로 확인돼 파문이 예상된다.

관계 당국 조사에 따르면 관리자 계정이 해킹된 가운데 1만 명이 넘는 개인 정보가 유출된 정황이 나오고 있어 우려가 확산되고 있다.

개인정보보호위원회(이하 개인정보위)는 지난 11월 26일 제24회 전체회의를 열고, 개인정보 보호 법규를 위반한 의료기기 제조·판매 업체 2곳에 대해 총 1억8820만 원의 과징금 및 780만 원의 과태료를 부과하고, 해당 사업자 홈페이지에 이같은 결과를 공표할 것을 의결했다.

# 이메일, 휴대폰 번호 등 유출 정황
먼저 A 업체의 경우 해커가 관리자 계정을 획득, 관리자 페이지에 접속했으며, 이름, 이메일, 휴대폰 번호, 직장명, 직업 등 총 733명의 개인정보를 탈취해 어둠의 경로, 이른바 ‘다크웹’에 게시했다.

해당 업체는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고, 관리자 페이지에 대한 접속기록을 보관하지 않은 사실이 확인됐다. 또, 이용자의 개인정보가 다크웹에 게시된 사실을 한국인터넷진흥원으로부터 여러 차례 전달받았음에도 유출 신고 및 통지 등 관련 조치를 지연했다.

이에 따라 개인정보위는 A 업체에 과징금 1억3300만 원, 과태료 780만 원을 부과하고, 처분 받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.

특히 B 업체의 경우는 1만 건에 육박하는 회원 개인 정보가 유출됐다. 해커가 관리자 계정을 획득해 관리자 페이지에 접속 후 아이디, 이름, 이메일, 생년월일, 휴대폰 번호, 주소, 성별 등 총 9637명의 개인정보를 다운로드 받아 유출한 것이다.

조사결과, B 업체는 다수의 개인정보취급자가 관리자 권한이 부여된 하나의 계정을 공유하며 사용했다. 또 외부에서 관리자 페이지에 접속을 허용하면서도 아이디, 비밀번호 외에 안전한 인증수단을 적용하지 않았으며, 관리자 페이지의 접속기록 점검을 소홀히 한 사실이 확인됐다. 개인정보위는 해당 업체에 대해 과징금 5520만 원을 부과하고, 역시 처분 받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.

# OTP 등 추가 인증 수단 적용 필수
이번에 이들 업체의 회원 정보가 유출된 것은 관리자 페이지 비정상 접속에 의한 것으로, 이는 최근 해킹 신고 유형 중 가장 높은 비중을 차지하고 있는 사례로 꼽힌다.

다수의 개인정보를 조회·다운로드 등 처리할 수 있는 관리자 페이지가 해킹될 경우 대규모 개인정보 유출로 이어질 위험이 크기 때문에 개인정보처리자는 관리자 페이지에 대한 접속 권한을 IP 주소 등으로 제한해야 한다.

또 외부에서 접속이 필요한 경우에는 아이디, 비밀번호 외 추가 인증 수단인 일회용 비밀번호(OTP), 인증서, 보안토큰 등의 적용이 필수적이라고 개인정보위는 조언했다.

아울러 불필요한 관리자 권한 부여를 자제하고, 계정 공유를 금지하는 등 관리자 계정에 대한 철저한 관리와 정기적인 웹 취약점 점검 및 최신 보안 패치 적용 등 지속적인 노력이 필요하다는 지적이다.

개인정보위는 “이번 조사 결과를 바탕으로 ‘관리자 페이지를 통한 개인정보 유출 예방 방안’을 CPO 협의회, 자율규제단체 등 관련 협회·단체와 공유하고, 지속적으로 안내할 계획”이라고 밝혔다.