비와이엔블랙야크·한국토픽교육센터, 총 14억1,400만원 과징금 받아

- 해커, SQL 인젝션 공격해 비와이엔블랙야크 342,253명 개인정보 탈취
- 해커, 한국토픽교육센터 84,085명 개인정보 탈취해 텔레그램에 공개
의류 판매 서비스 업체 비와이엔블랙야크와 온라인 교육 콘텐츠 서비스 업체 한국토픽교육센터가 총 14억 1,400만원 과징금과 270만원 과태료, 공표 명령을 받았다.
개인정보위는 9일 제15회 전체회의를 열고 비와이엔블랙야크에 과징금 13억 9,100만원을 부과, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
해커는 지난 3월 1일부터 4일까지 3일동안 비와이엔블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도해 관리자 계정 정보(아이디, 비밀번호)를 탈취했다. 해커는 탈취한 계정 정보로 관리자 페이지에 로그인 후 이용자 342,253명 개인정보를 탈취했다.
유출된 개인정보는 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부다.
비와이엔블랙야크는 웹사이트 개설 시점인 2021년 10월부터 SQL 삽입 공격 취약점 점검·조치가 소홀했다.
재택근무 등 사유로 외부서 관리자 페이지 접속이 가능토록 운영, 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았다.
한국토픽교육센터는 과징금 2,300만원과 과태료 270만원 부과, 공표 명령을 받았다.
해커는 2024년 3월 12일 한국토픽교육센터가 운영하는 웹사이트에 SQL 삽입 공격을 시도해 데이터베이스(DB) 내 이용자 84,085명(중복 포함) 개인정보를 탈취 후 텔레그램에 공개했다.
유출된 개인정보는 아이디, 비밀번호(암호화), 이름, 생년월일, 성별, 연락처, 휴대폰 번호, 이메일, 주소 등이며, 유출 항목별 유출 건수는 상이하다.
한국토픽교육센터는 운영 중인 웹사이트에 SQL 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 했다. 개인정보처리시스템에 대한 개인정보취급자 접속기록을 보관·관리하지 않았다. 또한, 유출 인지 후 72시간 경과해 유출을 통지했다.
디지털 전환 가속화로 재택근무 등이 많아지며 외부접속 허용 사례가 늘고 있다. 권한 사용자 판별을 위해 아이디/비밀번호 외 안전한 추가적 인증 적용이 중요하다.
또한, SQL 삽입 공격은 널리 알려진 기본적인 해킹 수법이다. 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있다. 따라서 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다.
Related Materials
- 세계 각국의 개인정보 유출에 대한 처벌 규정 - 세계법제정보센터, 2025년
- 정보보호 법제동향 (해외 주요국 EU, 미국, 일본 최근 입법동향), 2023년
- 유럽연합 국가, 신규 사이버보안법률 위반 시 높은 과징금 부과, 2023년
- 개인정보보호 월간동향분석, 2024년


