개인정보위, 개인정보 유출된 3개 사업자에 과징금 부과... "안전조치 미흡"

개인정보보호위원회가 법규를 위반해 개인정보 유출이 발생한 3개 사업자에 제재를 가한다. 이들 업체엔 총 3억3907만 원의 과징금과 1800만 원의 과태료가 부과됐다.

개인정보위는 지난 13일 제5회 전체회의를 열어 개인정보보호 법규를 위반해 이용자의 개인정보가 유출된 참좋은여행㈜, 루안코리아㈜ 및 ㈜디에이치인터내셔널에 과징금과 과태료를 부과했다. 위원회는 이 같은 제재 내용을 개인정보위 인터넷 홈페이지에 1년간 공표하도록 하도록 의결했다.

조사 결과 이들 업체는 모두 침입탐지시스템을 운영하지 않거나, 개인정보취급자가 외부에서 시스템에 접속할 때 2차 인증 등 안전한 인증수단을 적용하지 않는 등 안전한 개인정보 취급을 위한 조치를 다하지 않은 것으로 드러났다. 아이디와 비밀번호만으로도 접속할 수 있었다는 얘기다. 이중 모 업체는 비밀번호로 "1234"를 사용하는 등 해커가 이용자 개인정보에 손쉽게 접근할 수 있었던 것으로 드러났다. 3개 사업자 중 루안코리아㈜와 ㈜디에이치인터내셔널의 경우 개인정보가 유출됐다는 사실을 이용자에게 제대로 통지하지 않은 점 또한 문제가 됐다.

이렇듯 이들이 안전조치를 제대로 지키지 않아 유출된 개인정보는 최대 67만여 건으로 추정된다. 모 업체의 경우 개인정보를 암호화하지 않은 채 보관했는데, 이를 빼돌린 해커가 14만여 명의 개인정보를 가지고 판매 중이라며 그중 20명의 개인정보를 샘플로 공개하기도 했다. 공개된 20건의 형식이 업체 데이터베이스와 같아 사실상 14만여 명의 개인정보가 전부 유출된 것으로 추정된다. 해당 업체는 유출 사실을 전혀 탐지조차 하지 못했으나, 텔레그램에 올라온 개인정보 판매글에 대한 신고가 접수돼 개인정보위 조사를 받은 것으로 알려졌다.

개인정보위 관계자는 "세 업체 모두 안전조치 의무를 소홀히 한 점이 조사 결과 확인돼 제재가 의결된 것"이라며 "결과적으로 개인정보 유출까지 발생했기 때문에 과징금이 부과됐다"고 설명했다.

현행 개인정보 보호법은 제29조 등에서 개인정보처리자로 하여금 개인정보가 유출되지 않도록 안전에 필요한 조치를 취하도록 하고, 그렇지 않을 경우 제재를 가할 수 있다고 정하고 있다. 만약 해킹 등으로 개인정보가 유출되더라도 개인정보 보호를 위한 안전조치를 다했다면 제재를 받지 않는다. 제39조에서는 개인정보가 유출된 사실을 인지한 경우 지체 없이 해당 정보주체에게 유출된 항목과 경위, 대응 방법 과 피해 구제 절차 등을 알리도록 정하고 있다.

구혁 기자