국내 전자세금계산서 발급 대행 기업 비즈니스온의 ‘스마트빌’과 엔에이치엔위투(NHN위투)가 운영하는 패션 오픈마켓 ‘가방팝’이 해킹으로 개인정보가 유출됐다.
개인정보보호위원회는 26일 서울 종로구 정부서울청사에서 ‘ 2025년 제4회 개인정보보호위원회 전체회의’를 열고 개인정보보호 법규를 위반한 양사에 대해 총 1억9810만원의 과징금 및 1230만원의 과태료를 부과하고 시정명령과 공표명령 등을 의결했다고 27일 밝혔다.
온라인 전자세금계산서 발행 서비스 ‘스마트빌’을 운영하는 ‘비즈니스온커뮤니케이션’은 신원미상의 해커의 에스큐엘(SQL) 인젝션 공격으로 회원정보 17만9386건이 유출됐다. 유출된 회원 정보는 △이름 △아이디 △비밀번호 △이메일 △연락처 등이다.
SQL 인젝션 공격은 악의적인 SQL문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 기법이다.
개인정보위의 조사결과 비즈니스온커뮤니케이션은 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고 시스템 접속권한을 아이피(IP) 주소 등으로 제한하지 않아 개인정보가 유출됐다. 또 유출신고를 지연한 사실도 확인됐다.
이에 개인정보위는 과징금 1억3700만원과 과태료 270만원을 부과하고 법령 준수와 재발방지를 위한 대책을 수립‧이행하도록 시정명령을 했다. 이어 사업자 홈페이지에 처분 받은 사실을 공표하도록 명령했다.
NHN위투는 자사가 운영 중인 패션 분야 오픈마켓인 가방팝 쇼핑몰에 입점한 판매자를 위한 ‘판매자시스템’이 해커의 SQL 인젝션 공격을 받았다. 해당 시스템에서 보유한 53만4903건의 판매자 및 고객의 개인정보가 유출됐다. 유출된 정보에는 회원의 주민등록번호도 포함됐다.
NHN위투는 지난 2022년 7월 시스템을 개편했으나 과거 거래 내역 조회, 고객응대 등을 위해 기존 판매시스템도 함께 운영했다. 기존 시스템은 SQL 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고, 웹방화벽을 비활성화한 상태로 운영해 개인정보가 유출됐다.
또 NHN위투는 2013년 2월 기존 판매자시스템의 구 데이터베이스(DB)를 현행 DB로 이관했으나 파기하지 않았다. 구 DB에는 법상 파기 대상인 주민등록번호가 계속 보관된 사실도 확인됐다. 해당 DB는 구 정보통신망법상 주민등록번호 법정주의 시행일(2012년 8월 18일)로부터 2년 이내에 파기했어야 한다.
개인정보위는 과징금 6110만원과 과태료 960만원을 부과하고 사업자 홈페이지에 처분 받은 사실을 공표하도록 명령했다.
개인정보위는 “개인정보처리자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검해야 할 것”이라며 “시스템 개선 등으로 불필요한 개인정보가 포함돼 있는지 점검해 파기해야 한다”고 당부했다.
