위드이노베이션의 유출 정보 현황

구 분

유 출 항 목

건수

중복제거

이용자

정보

숙박

예약

정보

(구분), 제휴점명, 객실명, 예약일시, 약자, 회원번호, 휴대전화번호, 결제방법, 결제금액, 원금액, 입금가, 예약현황, ·퇴실(가능)시간 등

3,239,210

910,705*

회원

정보

회원번호, 회원ID(메일주소), 이름(또는 닉네임), 가입일자, 가입수단, 회원등급, 가입환경(OS정보)

178,625

78,716**

소 계

-

3,417,835

971,877***

사업자(제휴점)

정보****

체번호, 업체명, 은행명, 계좌번호, 예금주, 연락처(휴대전화번호), 생년월일(사업자번), 영업담당자, 회원등록상태, 등록일

1,163

1,163

합 계

-

3,418,998

973,040

* 숙박예약정보 3,239,210건을 휴대전화번호 기준으로 중복 제거

** 회원정보 중 이메일주소가 저장되어 있어 특정 개인을 식별할 수 있는 회원 수

*** 숙박예약정보와 회원정보 중 회원번호 등을 기준으로 동일인으로 파악된 17,544명 제외

**** <개인정보 비식별 조치 가이드라인>에서 사업체(개인사업자 포함)의 운영과 관련된 정보는 원칙적으로 개인정보에 해당하지 않는다고 해석

()위드이노베이션의 위반사항(요약)

위 반 내 용

관련 규정

시정조치

개인정보 보호조치 (접근통제)

§282

시정명령

 

과징금

3

100만원

 

과태료

1,500만원

- 개인정보처리시스템 접근권한 최소부여 원칙 위반

 

고객센터 상담직원 35명에게 개인정보처리시스템 파일다운로드 권한 부여

(상담사 ○○ 권한을 해커가 도용)

시행령§151

고시 §4

- 취급자 인사이동 시 지체없이 개인정보처리시스템 접근권한 변경하여야 하나 이를 위반

 

’17.3.3. 조직개편에 다른 인사이동(195명 전보) 3.20.까지 관리자페이지의 접근권한 미변경, 사고 인지(3.21.) 후인 3.24. 일괄 변경

(이중 직원 김○○의 최고관리자 권한을 해커가 도용)

시행령§151

고시 §4

- 취급자가 외부에서 정보통신망을 통해 개인정보처리시스템 접속 시 안전한 인증수단 미적용

시행령§151

고시 §4

- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀

 

OS에서 제공하는 기본방화벽(iptable) 및 오픈소스(Snort)를 이용한 침입탐지 외 전문기업이 제공하는 시스템 미설치

 

부에서 파일 다운로드 시도 등 시스템에 접속한 IP 주소 재분석 미실시

시행령§152

고시 §4

- 개인정보 다운로드·파기 가능한 취급자의 컴퓨터 망분리 미적용

 

매출액 100억원 이상, 저장·관리하는 이용자수 100만명 이상에 해당

시행령§153

고시 §4

- 페이지 취약점

 

SQL 인젝션 공격 등을 방지할 수 있는 시큐어 코딩 미수행

마케팅센터 웹페이지 취약점 점검 미수행 (해당 웹페이지 해커 공격)

시행령§155

고시 §4

개인정보 보호조치 (접속기록)

§283

- 개인정보취급자의 접속기록 보관(6개월), 정기정검(1회 이상) 의무 위반

시행령§15

고시 §5①④

개인정보 보호조치 (암호화)

§284

- 관리자페이지 접근권한 변경이력의 관리자 비밀번호 평문 저장

시행령§151

고시 §6

- 직원 개인용PC에 이용자개인정보(20,462) 미암호화 저장

시행령§154

고시 §6

개인정보의 파기 (유효기간제)

§29

시정명령

 

과태료

1,000만원

- 1년간 서비스를 미이용한 이용자의 개인정보(1,101,528)를 파기하거나 다른 이용자의 정보와 분리하여 별도 저장·관리하지 않음

시행령§16



저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바