이번 처분은 엔에이치엔커머스가 이용사업자들에게 제공하는 ‘서비스형 소프트웨어(SaaS)’ 방식의 쇼핑몰 솔루션인 ‘e나무’에서 발생한 해킹 사고에 따른 것이다.
지난 2024년 9월경 해당 솔루션의 장바구니 페이지가 ‘SQL 인젝션(SQL Injection)’ 공격을 받아 17개 이용사업자 홈페이지에서 총 122건의 주문자 개인정보가 유출됐다. SQL 인젝션은 공격자가 데이터베이스 질의어를 조작해 권한 없는 정보에 접근하는 해킹 기법이다.
유출된 정보는 △이름 △전화번호 △휴대전화번호 △주소 △주문정보 △결제금액 등이다. 피해를 입은 곳은 대부분 근린생활시설 등을 운영하는 소상공인이나 중소기업인 것으로 파악됐다.
조사 결과 사고가 발생한 e나무 솔루션은 서비스 개시 10여 년이 지나 기술 지원과 보안 관리가 미흡한 상태였던 것으로 드러났다. 엔에이치엔커머스는 해킹 사실 확인 후 개인정보위에는 72시간 내 신고를 완료했으나, 정작 피해를 본 이용사업자들에게는 일회성 통지에 그쳐 전달 여부를 확인하지 않았다. 또한 일부 영세 사업자가 사고 사실을 인지하지 못한 상황에서 정보주체의 연락처를 확보하고 있었음에도 직접 통지하지 않아, 72시간 내 유출 통지 의무를 위반했다.
개인정보위는 구형 e나무 솔루션이 이용률이 낮고 전담 조직이 해체된 점, 과거에도 유사한 해킹 전력이 있는 점 등을 고려할 때 향후 안전성 확보가 어렵다고 판단했다. 이에 따라 기존 이용자 중 웹사이트를 계속 운영하려는 사업자에게는 대체 솔루션을 제공하고, 웹사이트 이관 작업을 지원하도록 개선을 권고했다.
개인정보위 관계자는 “대형 수탁자가 역할에 걸맞은 개인정보 보호조치를 이행해야만 영세 소상공인을 포함한 다수 이용사업자의 보안 수준 또한 달성될 수 있다”고 강조했다.
