개인정보보호위원회(이하 개인정보위)가 6월 14일 위원회 전체회의에서 안전 조치 의무를 소홀히 하여 개인정보가 유출되었거나, 개인정보 유출 신고·통지를 위반한 8개 사업자에게 과징금과 과태료를 부과하고 시정 명령을 내리기로 의결했다.
먼저, ▲인터파크는 여행·쇼핑 등의 온라인 중개 플랫폼을 운영하면서 해커가 앱 서비스에 크리덴셜 스터핑 공격(유출된 계정에 비밀번호를 무작위로 대입하는 수법)을 하였으나 이러한 비정상 접속에 대응할 수 있는 차단 정책을 적용하지 않아 이용자 개인정보 78만 4920건이 유출됐다. 이에 대해 개인정보위는 10억 2645만 원의 과징금, 360만 원의 과태료, 시정명령 등의 제재 처분을 내렸다.
▲명품 온라인 쇼핑몰을 운영하는 리본즈는 아마존 클라우드 서비스(AWS) 내 개발 서버 접근권한을 아이피(IP) 주소 등으로 제한하지 않았으며, 해커가 획득한 AWS 계정 정보를 이용해 개인정보 118만 3325건을 유출한 사실이 밝혀져 1억 7201만 원의 과징금, 420만 원의 과태료, 시정명령 등의 제재가 내려졌다.
▲증권 정보 제공 사이트를 운영하는 팍스넷 역시 해커의 크리덴셜 스터핑 공격으로 이용자의 개인정보 28만 4054건이 유출됐고, 개인정보 유출 신고와 유출 통지를 지연한 사실도 확인되어 3484만 원의 과징금과 1100만 원의 과태료를 부과받았다.
나머지 5개 사업자는 대규모 개인정보 유출 사건이 발생하지는 않았지만 개인정보 안전 조치 등을 위반해 일부 개인정보가 노출되는 등의 사고가 발생해 제재를 받았다.
▲드림어스컴퍼니는 시스템 작업 중 설정 오류로 인해 신규 가입 회원의 정보와 소셜 로그인으로 신규 접속하는 회원 정보가 테스트용 데이터베이스(DB)에 저장되면서 이용자(회원)가 로그인 시 다른 이용자로 로그인되는 상황이 발생했다. 이로 인해 다른 이용자의 개인정보가 보이면서 보호법 위반 사항이 확인돼 과징금 3억 7895만 원과 과태료 600만 원이 부과됐다.
▲고시아카데미는 관리자 인증 절차를 누락한 채 시스템을 운영함으로써 이름 등으로 회원을 검색하는 페이지에 누구나 접근이 가능했고, 이에 따라 구글 검색 엔진에서 회원의 정보가 검색되는 등 유출 사실이 확인됐다. 고시아카데미에는 시정 명령과 과징금 4720만 원, 과태료 1080만 원이 부과됐다.
▲무신사는 이용자 편의를 위해 모바일 환경(모바일 웹, 앱)에서 배송지 변경 기능을 이용하기 쉽게 개선하면서, 비회원에게도 ‘지난 배송지 목록’이 자동으로 보여지도록 잘못 설정함에 따라 비회원이 주문 결제 후 배송지 변경 시, 다른 회원의 배송지 정보가 열람되는 위반 사항이 확인돼 과태료 1080만 원의 처분을 받았다.
▲빌박닷컴은 부동산 정보를 제공하는 홈페이지 관리자 페이지 접근 제한 등을 소홀히 해 해커의 공격에 의해 개인정보가 유출되었으며, 해당 정보 주체에게 유출 통지도 하지 않아 과태료 660만 원과 시정 명령 및 개선 권고를 받았다.
▲리니칼코리아의 경우 개인정보가 포함된 백업 파일 보관 업무를 위탁하면서 개인정보 처리 위·수탁 계약을 문서로 체결하지 않았고, 정보 주체에게 위탁 업무 내용과 수탁자를 공개하지 않은 사실이 확인되어 역시 과태료 200만 원의 처분을 받았다.
이와 함께 드림어스컴퍼니, 고시아카데미, 무신사의 3개 사업자는 유출 사실을 인지하고도 정당한 사유 없이 24시간 경과 후에 이용자에게 유출 사실을 신고하거나 통지해 개인정보 보호법을 위반했다.
남석 개인정보위 조사조정국장은 “개인정보를 처리하는 사업자는 개인정보 유출 사고가 일어나지 않도록 안전 조치와 관련된 의무 사항이 제대로 적용되었는지 상시 점검하고, 유출 사고가 일어나면 2차 피해를 방지할 수 있도록 유출 신고와 유출 통지 등을 성실하게 이행하여야 한다. 특히 개인정보 처리자가 개인정보 처리 업무를 위탁하는 경우에는 위탁 업무의 목적 및 범위 등 관련 법령에 따라 문서에 의하여 계약을 체결하고 정보 주체가 이를 쉽게 확인할 수 있도록 하여야 한다”고 당부했다.
