'300만명 개인정보 유출' 모두투어 과징금 7.5억 받아

등록 2025.03.13 12:00:00수정 2025.03.13 12:50:24

개인정보보호위원회 전체회의 열고 모두투어네트워크에 과징금·과태료 제재 의결

신원미상의 해커로부터 웹셸공격 받아…이름, 생년월일, 성별, 휴대전화번호 등 유출

접근통제 조치 미흡·개인정보 보유기간 경과됐는데도 파기하지 않아

[서울=뉴시스] 권창회 기자 = 일본행 여행객이 비수기 없이 계속 증가하고 있는 것으로 나타났다. 17일 국토교통부 항공정보포털시스템에 따르면 지난달 일본행 여행객은 189만 15명으로 코로나19 직전인 2019년 11월(104만9753명), 일본 불매운동인 '노재팬' 전인 2018년 동월(176만6551명)보다 많은것으로 나타났다. 이에 항공업계는 일본행 노선 확대와 증편에 나서고 있다. 사진은 18일 오전 서울 중구 모두투어 본사에서 직원들이 업무를 보고 있는 모습. 2023.12.18. [email protected]

[서울=뉴시스]송혜리 기자 = 개인정보보호위원회가 개인정보보호 법규를 위반한 모두투어네트워크에 과징금 7억4700만원과 과태료 1020만원을 부과하고 공표 명령 및 개선 권고를 결정했다고 13일 밝혔다.

개인정보위에 따르면 신원미상의 해커는 지난해 6월 모두투어네트워크가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했다. 웹셸 공격은 특정 웹사이트의 파일 업로드 취약점을 악용해 악성코드를 삽입·실행하는 방식으로, 관리자 권한을 탈취하고 개인정보를 빼내는 해킹 기법이다.

이를 통해 해커는 해당 파일에 존재하는 악성코드를 실행하해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취했다.

조사 결과 모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증·실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 했다. 아울러 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.

또 모두투어네트워크는 2013년 3월부터 수집한 비회원 316만여건(중복 포함)의 개인정보를 보유기간이 경과됐음에도 파기하지 않고 보유하고 있어, 대규모 유출에 영향을 끼쳤다. 게다가 지난해 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 9월에야 개인정보 유출사실을 통지한 것도 개인정보 침해 우려를 키우게 된 한 원인으로 보인다고 개인정보위는 지적했다.

개인정보위는 "이번 유출 사고에서 주요 원인이 된 웹셸 공격은 잘 알려진 웹 취약점 공격이지만 데이터베이스(DB)에 접근이 가능해 피해 정도가 큰 특징을 가지고 있는 만큼, 개인정보 탈취 위험에 대한 사전 탐지·차단 정책 강화 및 파일 업로드 취약점 점검·조치 등 각별한 주의와 예방이 필요하다"고 당부했다.

◎공감언론 뉴시스 [email protected]