개인정보위, '122건 정보 유출' NHN커머스에 과징금·과태료 조치

총 122건의 주문자 개인정보가 유출된 쇼핑몰 솔루션 보안 사고와 관련해 개인정보보호위원회가 엔에이치엔커머스에 과징금 870만원과 과태표 450만원을 조치했다. 구형 서비스형소프트웨어(SaaS) 솔루션을 장기간 방치한 책임과 정보주체 통지 미흡이 문제로 지적됐다.

개인정보보호위원회는 지난 28일 제2회 전체회의를 열고 개인정보 보호 법규를 위반한 엔에이치엔커머스에 과징금 870만원과 과태료 450만원을 부과하고 처분 사실을 홈페이지에 공표하도록 의결했다.

29일 개인정보위에 따르면 이번 사고는 2024년 9월 발생했다. 엔에이치엔커머스가 제공하는 쇼핑몰 구축 SaaS 솔루션 'e나무'의 장바구니 관련 웹페이지가 SQL 인젝션 공격을 받으면서, 17개 이용사업자 홈페이지에서 총 122건의 개인정보가 유출됐다.

유출된 정보는 주문자 이름과 전화번호, 휴대전화번호를 비롯해 배송지 주소, 주문번호, 주문일자, 결제 방법, 배송비, 상품명과 결제 금액 등이다. 피해 이용사업자는 근린생활시설 등을 운영하는 소상공인과 중소기업이 대부분이었다.

문제가 된 'e나무' 솔루션은 서비스 개시 후 약 10년이 지난 구형 솔루션이다. 기술 지원과 보안 관리가 충분히 이뤄지지 않았고, 다수 이용사업자는 이미 차세대 솔루션으로 이전한 상태였다. 홈페이지 이전이나 재구축이 어려운 일부 영세 사업자들이 기존 솔루션을 계속 사용하던 중 이번 유출 사고가 발생했다.

엔에이치엔커머스는 공격 발생 사실과 유출 범위를 확인한 뒤 개인정보위에 대한 유출 신고는 72시간 내 완료했다. 그러나 이용사업자에게 이메일과 전화로 일회성 통지만 했을 뿐, 통지 도달 여부를 확인하지 않았다. 특히 일부 이용사업자가 상황을 인식하지 못하고 있다는 점을 알고도, 개인정보가 유출된 정보주체에게 직접 통지하지 않아 결과적으로 법정 기한 내 유출 통지가 이뤄지지 않았다.

개인정보위는 SQL 인젝션 공격을 막기 위한 안전조치를 이행하지 않은 점에 대해 과징금 870만 원을, 정보주체 통지 의무를 다하지 않은 점에 대해 과태료 450만원을 각각 부과했다. 행정처분 사실의 홈페이지 공표도 명령했다.

아울러 'e나무' 솔루션의 낮은 이용률과 전담 조직 해체, 과거 유사한 SQL 인젝션 공격으로 과징금을 부과받은 전력 등을 고려해, 기존 이용사업자에게 대체 솔루션을 제공하고 홈페이지 이관을 지원할 것을 개선 권고했다.

개인정보위 관계자는 "대형 수탁자가 책임에 걸맞은 개인정보 보호 조치를 이행해야 영세 소상공인을 포함한 다수 이용사업자의 보안 수준도 함께 확보될 수 있다"고 강조했다.