하스는 과징금 1억 3300만 원, 과태료 780만 원을, 바텍엠시스는 과징금 5520만 원을 부과받았다. 양사는 홈페이지에도 해당 내용을 공표해야 한다.
이들 사업자는 모두 개인정보처리시스템(관리자 페이지) 관리자 계정이 탈취되어 회원 정보가 유출됐다.
하스의 경우 신원 미상 해커가 하스의 관리자 계정을 획득해 관리자 페이지에 접속하였고, 733명의 개인정보(이름, 이메일, 휴대폰 번호, 직장명, 직업 등)를 탈취해 다크웹에 게시했다.
하스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고, 관리자 페이지에 대한 접속기록을 보관하지 않은 사실이 확인됐다.
또한, 이용자의 개인정보가 다크웹에 게시된 사실을 한국인터넷진흥원으로부터 여러 차례 전달받았음에도 유출 신고 및 통지 등 관련 조치를 지연했다.
바텍엠시스도 해커가 관리자 계정을 획득해 9637명의 개인정보(아이디, 이름, 이메일, 생년월일, 휴대폰 번호, 주소, 성별 등)를 유출하는 사고를 겪었다.
바텍엠시스는 다수의 개인정보취급자가 관리자 권한이 부여된 하나의 계정을 공유하며 사용했고, 외부에서 관리자 페이지에 접속을 허용하면서도 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았다.
개인정보위는 “관리자 페이지 비정상 접속에 의한 사고는 유출(해킹) 신고 유형 중 가장 높은 비중을 차지하고 있다”며 “개인정보처리자는 관리자 페이지에 대한 접속 권한을 IP 주소 등으로 제한해야 한다”고 전했다.
아울러 “불필요한 관리자 권한 부여를 자제하고, 계정 공유를 금지하는 등 관리자 계정에 대한 철저한 관리와 정기적인 웹 취약점 점검 및 최신 보안 패치를 적용하는 등 지속적인 노력이 필요하다”고 강조했다.
