개인정보위, 제15회 전체회의 의결
"SQL 삽입 공격 취약점 점검 소홀"
个人信息保护委员会10日表示,将对违反安全措施义务的BYN BLACKYAK和韩国Topic教育中心处以共计14.14亿韩元的罚款和270万韩元的罚金。
制造和销售服装用品等的BYN BLACKYAK自2021年10月开设网站以来,被确认疏于对结构化查询语言(SQL)注入攻击漏洞进行检查和处置。该公司以居家办公等为由,允许从外部访问管理员页面,却未在账号、密码之外再应用安全的认证手段。
据此,BYN BLACKYAK将被处以13.91亿韩元的罚款。有关处分事实将公示在其运营中的官方网站上。
此前,BYN BLACKYAK在今年3月遭遇黑客对其网站实施的SQL注入攻击,导致管理员账号信息以及34万2253名用户的个人信息(姓名、性别、部分地址等)被窃取。所谓SQL注入攻击,是指利用网站漏洞执行并操纵恶意数据库(DB)指令的一种攻击手法。
韩国Topic教育中心也因去年3月其网站被黑客通过SQL注入攻击攻破,被处以2300万韩元罚款和270万韩元罚金。当时黑客窃取了数据库内8万4085名用户(含重复)的账号、密码(加密)、姓名、性别、手机号码等个人信息,并将其公开在Telegram上。
个人信息保护委员会调查结果显示,韩国Topic教育中心在防止SQL注入攻击的检查和处置方面疏于管理,也未对个人信息处理系统操作人员的访问记录进行保存和管理。其在没有正当理由的情况下,自认知到个人信息泄露事实后超过72小时才进行通知。
个人信息保护委员会相关负责人表示:“由于居家办公等原因,允许外部接入的案例不断增加,为判别是否为具有权限的用户而引入附加认证手段,比以往任何时候都更为重要”,“个人信息处理者必须加强包括网站漏洞检查在内的安全对策,务必格外注意。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
