㈜비와이엔블랙야크 (블랙야크)

유출된 개인정보 항목

사고 경위

해커가 2025년 3월 1일부터 4일까지 블랙야크 웹사이트에 SQL 삽입 공격을 시도하여 관리자 계정 정보(아이디, 비밀번호)를 탈취했다. 이후 탈취한 계정으로 관리자 페이지에 로그인하여 이용자 342,253명의 개인정보를 내려받았다.

조사 결과 블랙야크는 웹사이트 개설 시점인 2021년 10월부터 SQL 삽입 공격 취약점에 대한 점검·조치를 소홀히 했으며, 재택근무 등 외부 접속을 허용하면서 아이디·비밀번호 외 안전한 추가 인증수단을 적용하지 않은 것으로 확인됐다.

개인정보보호위원회는 2025년 7월 9일 제15회 전체회의에서 안전조치 의무 위반(접근통제)을 이유로 과징금을 부과하고 공표를 명령했다.

처분 결과

과징금 13억 9,100만 원, 공표명령