개인정보 78만건 유출한 인터파크에 과징금 10억원 제재

고학수 개인정보보호위원회 위원장이 14일 정부서울청사에서 제10회 전체회의 개회를 알리며 의사봉을 두드리고 있다. 개인정보위 제공

개인정보보호위원회는 14일 전체회의에서 개인정보 보호에 필요한 안전조치를 소홀히 하거나 유출통지·신고를 지연해 개인정보보호 법규를 위반한 3개 사업자에게 과징금 12억3330만원과 과태료 1880만원을 부과하기로 의결했다.

여행·쇼핑 등 분야 온라인 중개플랫폼을 운영하는 인터파크는 해커로부터 앱 서비스에 크리덴셜 스터핑 공격을 받았으나, 동일한 IP주소에서 대규모로 로그인을 시도하는 경우와 같이 비정상적인 접속 시도에 대응할 수 있는 차단 정책을 적용하지 않아 이용자 개인정보 78만4920건이 유출됐다. 이에 10억2645만원의 과징금, 360만원의 과태료, 시정명령 등 제재 처분이 내려졌다.

증권정보 제공 사이트 팍스넷도 해커의 크리덴셜 스터핑 공격으로 이용자 개인정보 28만4054건이 유출됐고, 개인정보 유출신고와 유출통지를 지연한 사실도 확인됐다. 3484만원의 과징금, 1100만원의 과태료가 부과됐다.

명품 온라인쇼핑몰 리본즈의 경우 AWS(아마존웹서비스) 내 개발 서버 접근권한을 IP주소 등으로 제한하지 않았으며 해커가 획득한 AWS 계정정보를 악용해 이용자 개인정보 118만3325건을 유출한 사실이 확인됐다. 1억7201만원의 과징금, 420만원의 과태료, 시정명령 등 제재 처분을 받았다.

아울러 개인정보위는 안전조치의무를 소홀히 해 개인정보가 유출됐거나 신고·통지의무를 위반한 5개 사업자에 대해서도 총 4억2615만원의 과징금과 3620만 원의 과태료를 부과하기로 결정했다.

음원 플랫폼 '플로'를 운영하는 드림어스컴퍼니는 시스템 작업 중 설정 오류로 인해 신규 가입회원의 정보와 소셜 로그인으로 신규 접속하는 회원 정보가 테스트용 DB(데이터베이스)에 저장되면서 이용자(회원)가 로그인 시 다른 이용자로 로그인되는 상황이 발생했다. 다른 이용자의 개인정보가 보이면서 보호법 위반사항이 확인됐다. 과징금 3억7895만원과 과태료 600만원이 부과됐다.

고시아카데미는 관리자 인증 절차를 누락한 채 시스템을 운영함으로써 이름 등으로 회원을 검색하는 페이지에 누구나 접근이 가능했고, 이에 따라 구글 검색엔진에서 회원 정보가 검색되는 등 유출 사실이 확인됐다. 과징금 4720만원과 과태료 1080만원이 부과됐다.

무신사는 이용자 편의를 위해 모바일 환경에서 배송지 변경 기능을 이용하기 쉽게 개선하면서, 비회원에게도 '지난 배송지 목록'이 자동으로 보이도록 잘못 설정했다. 비회원이 주문결제 후 배송지 변경 시 다른 회원의 배송지 정보가 열람되는 위반사항이 확인됐다. 1080원의 과태료 처분이 내려졌다.

드림어스컴퍼니, 고시아카데미, 무신사 이들 3개 사업자는 또한 유출 사실을 인지하고도 정당한 사유 없이 24시간 경과 후에 이용자에게 유출 사실을 신고하거나 통지해 개인정보보호법을 위반했다.

빌박닷컴도 부동산 정보를 제공하는 홈페이지의 관리자페이지 접근제한 등을 소홀히 해 해커 공격으로 개인정보가 유출됐으며, 해당 정보주체에게 유출 통지도 하지 않은 사실이 확인됐다. 660만원의 과태료 처분을 받았다.

리니칼코리아의 경우 개인정보가 포함된 백업파일 보관업무를 위탁하면서 개인정보 처리 위·수탁 계약을 문서로서 체결하지 않았고, 정보주체에게 위탁업무 내용과 수탁자를 공개하지 않은 사실이 확인돼 200만원의 과태료 처분을 받았다.

남석 개인정보위 조사조정국장은 "개인정보를 처리하는 사업자는 언제든지 해킹 공격 등으로 개인정보 유출 피해가 발생할 수 있다는 점을 인식해 접근통제 등 안전조치 의무사항을 자주 점검해 미흡한 부분은 개선하고, 유출사고가 발생했을 때는 신고·통지를 신속·적법하게 이행해야 한다"며 "개인정보처리자가 개인정보 처리업무를 위탁하는 경우에는 위탁업무의 목적 및 범위 등 관련 법령에 따라 문서에 의해 계약을 체결하고 정보주체가 이를 쉽게 확인할 수 있도록 해야 한다"고 말했다.팽동현기자 dhp@dt.co.kr