㈜위드이노베이션의 유출 정보 현황
구 분 | 유 출 항 목 | 건수 | 중복제거 | |
이용자 정보 | 숙박 예약 정보 | 숙박수(구분), 제휴점명, 객실명, 예약일시, 예약자, 회원번호, 휴대전화번호, 결제방법, 결제금액, 원금액, 입금가, 예약현황, 입·퇴실(가능)시간 등 | 3,239,210건 | 910,705명* |
회원 정보 | 회원번호, 회원ID(이메일주소), 이름(또는 닉네임), 가입일자, 가입수단, 회원등급, 가입환경(OS정보) 등 | 178,625건 | 78,716명** | |
소 계 | - | 3,417,835건 | 971,877명*** | |
사업자(제휴점) 정보**** | 업체번호, 업체명, 은행명, 계좌번호, 예금주, 연락처(휴대전화번호), 생년월일(사업자번호), 영업담당자, 회원등록상태, 등록일 | 1,163건 | 1,163명 | |
합 계 | - | 3,418,998건 | 973,040명 |
* 숙박예약정보 3,239,210건을 휴대전화번호 기준으로 중복 제거
** 회원정보 중 이메일주소가 저장되어 있어 특정 개인을 식별할 수 있는 회원 수
*** 숙박예약정보와 회원정보 중 회원번호 등을 기준으로 동일인으로 파악된 17,544명 제외
**** <개인정보 비식별 조치 가이드라인>에서 사업체(개인사업자 포함)의 운영과 관련된 정보는 원칙적으로 개인정보에 해당하지 않는다고 해석
(주)위드이노베이션의 위반사항(요약)
위 반 내 용 | 관련 규정 | 시정조치 |
⦁개인정보 보호조치 (접근통제) | 법 §28①제2호 | 시정명령
과징금 3억 100만원
과태료 1,500만원 |
- 개인정보처리시스템 접근권한 최소부여 원칙 위반
※ 고객센터 상담직원 35명에게 개인정보처리시스템 파일다운로드 권한 부여 (상담사 유○○ 권한을 해커가 도용) | 시행령§15②제1호 고시 §4① | |
- 취급자 인사이동 시 지체없이 개인정보처리시스템 접근권한 변경하여야 하나 이를 위반
※ ’17.3.3. 조직개편에 다른 인사이동(195명 전보) 후 3.20.까지 관리자페이지의 접근권한 미변경, 사고 인지(3.21.) 후인 3.24. 일괄 변경 (이중 직원 김○○의 최고관리자 권한을 해커가 도용) | 시행령§15②제1호 고시 §4② | |
- 취급자가 외부에서 정보통신망을 통해 개인정보처리시스템 접속 시 안전한 인증수단 미적용 | 시행령§15②제1호 고시 §4④ | |
- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀
※ OS에서 제공하는 기본방화벽(iptable) 및 오픈소스(Snort)를 이용한 침입탐지 외 전문기업이 제공하는 시스템 미설치
※ 외부에서 파일 다운로드 시도 등 시스템에 접속한 IP 주소 재분석 미실시 | 시행령§15②제2호 고시 §4⑤ | |
- 개인정보 다운로드·파기 가능한 취급자의 컴퓨터 망분리 미적용
※ 매출액 100억원 이상, 저장·관리하는 이용자수 100만명 이상에 해당 | 시행령§15②제3호 고시 §4⑥ | |
- 웹페이지 취약점
※ SQL 인젝션 공격 등을 방지할 수 있는 시큐어 코딩 미수행 ※ 마케팅센터 웹페이지 취약점 점검 미수행 (해당 웹페이지 해커 공격) | 시행령§15②제5호 고시 §4⑨ | |
⦁개인정보 보호조치 (접속기록) | 법 §28①제3호 | |
- 개인정보취급자의 접속기록 보관(6개월), 정기정검(월 1회 이상) 의무 위반 | 시행령§15③ 고시 §5①④ | |
⦁개인정보 보호조치 (암호화) | 법 §28①제4호 | |
- 관리자페이지 접근권한 변경이력의 관리자 비밀번호 평문 저장 | 시행령§15④제1호 고시 §6① | |
- 직원 개인용PC에 이용자개인정보(20,462건) 미암호화 저장 | 시행령§15④제4호 고시 §6 | |
⦁개인정보의 파기 (유효기간제) | 법 §29② | 시정명령
과태료 1,000만원 |
- 1년간 서비스를 미이용한 이용자의 개인정보(1,101,528건)를 파기하거나 다른 이용자의 정보와 분리하여 별도 저장·관리하지 않음 | 시행령§16② |
'Security_News > 국내보안소식' 카테고리의 다른 글
사회기반시설사업·지역개발사업의 정보화계획 수립에 관한 지침 행정예고 안내 (0) | 2017.09.12 |
---|---|
이스트소프트 개인정보 침해사고 사건 발생 경위 및 분석 진행상황 안내 (0) | 2017.09.10 |
알툴즈 고객정보 유출 (0) | 2017.09.05 |
남양유업 개인정보 유출소식 (0) | 2017.09.01 |
S/W 개발 환경의 보안 위협에 따른 주의 권고 (0) | 2017.08.28 |