고객정보 유출된 '디아스타' 과징금 처분 ..부실관리한 '바로고'는 시정명령
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
해킹을 통해 고객 개인정보가 유출된 여행·숙박 중개 플랫폼 사업자인 디아스타코리아가 과징금 처분을 받았다.
개인정보보호위원회는 28일 제16회 전체회의를 열고 개인정보 보호법을 위반한 디아스타코리아에 총 8297만원 과징금과 과태료 360만원을 부과하기로 결정했다.
개인정보보호위는 또 담당자 실수 등으로 개인정보가 유출된 컴투스, 사단법인 국립중앙박물관회, 누리미디어, 나라사랑공제회, 정상북한산리조트 등 5개 사업자에 과태료 총 1620만원을 의결했다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
기사내용 요약
여행·숙박 중개 플랫폼 디아스타, 해커 공격으로 예약자 내역 유출
바로고, 일정 기간 지난 고객정보 계속 저장…가맹점이 검색할 수 있도록 방치
담당자 실수 등으로 개인정보 유출된 LGU+ 등 8곳에 과태료 총 3120만원 부과
[서울=뉴시스]송종호 기자 = 해킹을 통해 고객 개인정보가 유출된 여행·숙박 중개 플랫폼 사업자인 디아스타코리아가 과징금 처분을 받았다.
개인정보보호위원회는 28일 제16회 전체회의를 열고 개인정보 보호법을 위반한 디아스타코리아에 총 8297만원 과징금과 과태료 360만원을 부과하기로 결정했다.
여행·숙박 중개 플랫폼 ‘디아스타’를 운영하는 디아스타코리아는 해커 공격으로 이용자 예약 내역이 유출됐다. 개인정보위 조사 결과 해커는 쿠키 변조 보안취약점을 이용해 관리자 권한을 획득한 것으로 확인됐다. 관리자 권한을 탈취한 해커는 관리자 페이지에 무단접속해 개인정보를 유출했다.
디아스타코리아는 개인정보처리시스템을 운영하면서 취약점 점검을 소홀히 하고 안전성 확보를 위한 적절한 개선조치를 하지 않았다고 개인정보위는 설명했다. 이는 개인정보보호법 제29조 안전조치의무(접근통제) 위반에 해당한다.
이날 개인정보위는 제휴 음식점에서 휴대전화 번호를 입력하면 집주소가 검색되도록 개인정보를 부실하게 관리한 배달대행 플랫폼 사업자인 바로고에 시정명령을 의결했다. 이는 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 제5항에 근거한 조치다.
배달대행 업계에 따르면 고객이 음식을 주문하면 음식점은 배달대행업체에 고객 정보를 전달한다. 이 때 배달대행업체는 일정 기간이 지나면 고객정보를 확인할 수 없도록 조치를 취해야 한다. 하지만 바로고는 고객정보를 계속 저장해두고, 제휴 음식점이 검색할 수 있도록 방치해 개인정보보호법을 위반한 혐의를 받고 있다.
양청삼 개인정보위 조사조정국장은 “음식점, 판매점, 부동산 등으로부터 개인정보 업무를 위탁받아 처리하는 수탁자는 위탁받은 업무 범위를 초과해 개인정보를 이용해서는 안된다”고 강조했다.
이어 “향후 수탁자의 개인정보보호 법규 위반에 대해 과징금·과태료를 부과할 수 있도록 한 보호법 개정안이 입법 완료되면, 수탁자의 개인정보보호에 대한 책임성이 한층 강화될 것으로 기대한다”고 말했다.
이밖에 개인정보위는 해킹으로 개인정보가 유출된 기업 등 개인정보보호법을 위반한 사업자에 과태료 부과를 의결했다.
LG유플러스와 대동병원은 해커 공격으로 임직원 메일 정보 등이 유출됐다. LG유플러스는 임직원 등의 교육시스템 내 일부 페이지가 로그인 없이 접근 가능했고, 특수문자 차단 기능을 적용하지 않아 에스큐엘(SQL) 주입 공격으로 임직원 등의 메일 정보가 다크웹에 게시돼 과태료 600만원을 처분받았다. 에스큐엘 공격은 데이터베이스에 대한 질의 값을 조작해 해커가 원하는 자료를 데이터베이스로부터 빼내는 공격 기법이다.
대동병원은 누리집 게시판 파일 업로드 취약점을 노린 해킹 공격으로 회원 메일정보가 유출된 것으로 확인돼 과태료 360만원 처분을 받았다.
로젠의 경우 택배 영업소장이 개인정보를 조회할 수 있는 계정을 제3자에게 불법 제공해 고객의 개인정보가 유출돼 과태료 600만원이 결정됐다.
개인정보보호위는 또 담당자 실수 등으로 개인정보가 유출된 컴투스, 사단법인 국립중앙박물관회, 누리미디어, 나라사랑공제회, 정상북한산리조트 등 5개 사업자에 과태료 총 1620만원을 의결했다.
양 국장은 “개인정보 유출 사고는 외부 해킹 뿐 아니라 담당자 실수와 같은 내부 요인으로도 발생하고 있다”라며 “개인정보처리시스템의 안전조치 의무사항을 상시 점검하고 개인정보 보호 교육 등 담당자 인식 제고 노력도 지속적으로 해야한다”라고 말했다.
☞공감언론 뉴시스 song@newsis.com
Copyright © 뉴시스. 무단전재 및 재배포 금지.
- 하이브 "민희진, 경영사항 女무속인에게 코치 받아" 주장
- 박중훈, 아들·딸 최초 공개…아이돌 비주얼
- 박수홍 "가정사 탓 23㎏ 빠져 뼈만 남아"
- 백일섭 "졸혼 아내, 정 뗐다…장례식장에도 안 갈 것"
- 4시간만 100억…이다해 "中 라방, 나와 추자현만 가능"
- 함소원, 베트남서 중국行 "♥진화와 부부싸움, 딸이 말렸다"
- '여행스케치 기획' 박동률 별세, 남궁옥분 '사랑 사랑 누가 말했나' 작곡가
- 김옥빈 "역대급 몸무게 60㎏ 찍었다…살쪄서 맞는 바지 1개"
- 유영재 "더러운 성추행 프레임"…해명 영상 삭제 왜?
- 김동완·서윤아, 결혼 성큼…"각방 쓰고 싶다 하는데 생각 달라"