![블랙야크가 개인정보 보안 점검을 소홀히 했다는 이유로 과징금 14억을 부과 받았다. [출처=블랙야크 홈페이지]](https://cdn.ebn.co.kr/news/photo/202507/1670109_685669_1753.png)
개인정보보호위원회는 9일 제15회 전체회의를 열고 개인정보보호법을 위반한 ㈜비와이엔블랙야크와 ㈜한국토픽교육센터에 각각 과징금과 과태료를 부과하고, 해당 처분 내용을 공표하도록 명령했다고 10일 밝혔다.
위원회 조사에 따르면 글로벌 아웃도어 브랜드 블랙야크를 운영하는 비와이엔블랙야크는 웹사이트를 개설한 2021년 10월부터 에스큐엘(SQL) 삽입 공격에 대한 보안 취약점 점검·조치를 소홀히 해왔다.
특히 재택근무 등으로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서도 아이디·비밀번호 외의 안전한 인증 수단을 적용하지 않은 점이 확인됐다.
이 같은 허점을 이용해 해커는 지난 3월 1일부터 4일 사이 블랙야크 웹사이트에 SQL 삽입 공격을 시도했고, 관리자 계정 정보를 탈취한 뒤 관리자 페이지에 접속해 34만2053명의 이용자 개인정보를 불법으로 내려받았다. 유출된 정보에는 이름, 성별, 생년월일, 휴대전화 번호, 주소 일부가 포함돼 있었다.
이에 개인정보위는 블랙야크에 과징금 13억9천100만원을 부과하고, 관련 사실을 홈페이지 등에 공표할 것을 명령했다.
또한 위원회는 온라인 교육 콘텐츠 서비스 기업인 한국토픽교육센터에 대해서도 유사한 사안을 지적했다. 이 업체는 지난해 3월 12일, 해커로부터 SQL 삽입 공격을 받아 이용자 8만4085명(중복 포함)의 개인정보를 탈취당했고 해당 정보는 이후 텔레그램을 통해 공개됐다. 유출된 개인정보에는 아이디, 비밀번호, 이름, 생년월일, 성별, 연락처, 이메일, 주소 등이 포함된 것으로 파악됐다.
개인정보위는 한국토픽교육센터 역시 보안 취약점 점검을 게을리했을 뿐 아니라 개인정보처리시스템 접속 기록을 적절히 관리하지 않았고, 유출 사실을 인지한 이후에도 정당한 사유 없이 72시간이 지나 통지한 점을 문제 삼았다. 이에 따라 과징금 2천300만원, 과태료 270만원을 부과하고, 공표 명령을 내렸다.
개인정보보호위원회는 "디지털 전환이 가속화되면서 재택근무 등 외부 접속 환경이 보편화되고 있다"며 "아이디·비밀번호 외에도 다중 인증 등 안전한 추가 인증 수단 도입이 필수적"이라고 강조했다.
