SK하이닉스, 조선일보 등 전산상 외부 침입 해킹 또는 업무 담당자의 실수로 개인정보가 유출된 16개 사업자에 과징금 및 과태료 처분이 내려졌다.
개인정보보호위원회(개인정보위)는 3월 23일 열린 전체회의에서 개인정보가 유출된 개인정보 보호 법규 위반에 대해 총 2370만 원의 과징금과 9200만 원의 과태료 부과 처분을 의결했다.
이번 처분에 대한 조사는 모두 사업자들이 한국인터넷진흥원(KISA)에 유출 사실을 신고함에 따라 진행됐다. 조사 결과, 유출 원인으로는 해킹이 12건이었으며, 업무상 과실이 4건이었다.
캔바 등 4개 사업자는 아마존 클라우드 서비스를 이용하면서 안전한 인증 수단을 적용하지 않아 해커에게 관리자 접근 권한을 탈취당했다.
이 외 5개 사업자의 유출 사고에 대한 해킹 방법은 에스큐엘(SQL) 인젝션, 웹셀 공격, 무작위 대입 공격으로 규명됐다. 강원도의사회 등 4개 사업자의 경우 업무상 실수로 개인정보가 외부에 공개되거나 내부 직원들에게 개인정보가 잘못 전달됐다.
탈취당한 개인정보 중 일부는 다크웹 등에 게시되거나 광고성 스팸, 메일 등에 이용됐고, 주민등록번호가 유출되거나 잘못 처리한 사례도 확인됐으며 일부 사업자들은 유출통지도 하지 않았다.
개인정보위는 안전 조치를 소홀히 하거나 유출 통지를 하지 않는 등 법규를 위반한 16개 사업자 모두에게 과태료를 부과했고, 추가로 안전 조치를 소홀히 하여 개인정보가 유출된 정보통신 서비스 사업자 징가와 하우빌드, 그리고 암호화하지 않은 주민등록번호가 유출된 성보공업에는 과징금도 부과했다.
개인정보위는 공용 클라우드를 통한 해킹 사고가 빈번하게 발생하는 점에 대하여 아마존 등 공용클라우드 서비스 제공자와 함께 개인정보 보호를 위한 공동 교육 및 홍보를 추진해 나갈 계획이다.
