/사진=개인정보보호위원회
개인정보보호위원회는 지난 11일 제16회 전체회의를 열고 개인정보보호 법규를 위반한 △슈나이더일렉트릭(과징금 799만원, 과태료 420만원) △신일전자 (1,865원 ▲13 +0.70%)(과징금 2억2400만원, 과태료 1080만원) △국민은행(과태료 120만원, 개선권고) 등 3개사에 처분을 내렸다며 12일 이같이 밝혔다.
슈나이더일렉트릭은 전기설비 엔지니어링 서비스와 관련한 웹사이트를 운영해왔다. 이 회사는 침입 차단·탐지 시스템 부실 운영, 데이터베이스를 비정상적으로 조작하는 공격기법인 'SQL 인젝션' 예방을 위한 홈페이지 입력값 검증절차 부재, 개인정보 취급자의 비밀번호 암호화 미조치 등이 확인돼 이번 처분을 받았다.
개인정보위는 "이번 유출 사고에서 공통적 원인이 된 SQL 인젝션 공격의 경우, 잘 알려진 웹 취약점 공격이지만 파괴력이 매우 커 개인정보처리자 등의 지속적인 주의가 필요하다"며 "시큐어 코딩과 데이터베이스(DB) 보안 등의 안전조치의무를 충실히 이행하는 것이 중요하다"고 했다.