전자세금계산서 서비스 ‘스마트빌’ 운영사가 개인정보 유출사고로 부실한 관리실태가 적발돼 억대 과징금을 부과받았다.

지난 2월 26일 ‘개인정보보호위원회’(이하 ‘개인정보위’)는 전체회의에서 비즈니스온커뮤니케이션에게 과징금 1억 3,700만 원과 과태료 270만 원, 시정･공표명령을 부과하기로 의결했다.

스마트빌에선 2023년 11월 관리자 페이지에서 볼 수 있는 이름･아이디･비밀번호･이메일･연락처 등 회원정보 17만 9,386건이 해킹으로 유출되는 사고가 발생했다.

해커는 서버 데이터베이스(DB)가 오작동하도록 질의문(명령어)을 입력하는 ‘SQL(구조화쿼리언어) 인젝션(주입)’ 기법을 공격에 활용했다.

SQL 인젝션은 서버가 입력값을 검수해 차단할 수 있다.

개인정보위는 비즈니스온이 이 같은 방어조치를 하지 않았고, 관리자 로그인창에 접속할 수 있는 IP주소 역시 제한하지 않았다고 지적했다.

개인정보위는 “개인정보보호법상 안전조치와 관련된 의무사항을 항상 점검하고, 시스템 개선 등으로 불필요한 개인정보가 발생했는지 점검해 파기하라.”고 당부하면서 “SQL 인젝션 공격을 예방하기 위해 한국인터넷진흥원(KISA)의 ‘소프트웨어 보안약점 진단 가이드’ 등 가이드라인을 참고하고, 필요하면 ‘보안취약점 점검'’서비스를 활용하라.”고 조언했다.