개인정보위, '고객 개인정보 유출' 삼성전자에 과징금 8.7억

삼성 개인정보 피해 26명...76건 이미지·동영상 유출
LG헬로비전, 해커공격 4만명 유출...11억 과징금

개인정보보호위원회 로고. ⓒ개인정보보호위원회

삼성전자와 LG헬로비전 등 개인정보보호 법규 위반 기업들이 수억원대 과징금 처분을 받았다.

개인정보보호위원회(개인정보위)는 28일 제11회전체회의를 열고, 개인정보보호 법규를 위반해 이용자의 개인정보가 유출된 삼성전자에 대해 과징금 8억7558만원, 과태료 1400만원을 부과했다.

삼성전자의 경우 지난 2020년 1월부터 2021년 5월까지 총 6건의 유출신고에 따라 조사가 이뤄졌다. 개인정보위는 이 중 4건에 대해 이날 심의·의결했다. 나머지 2건의 경우 개인정보 보호법 위반으로 보기 어려워 종결조치했다.

개인정보위에 따르면, 삼성전자는 삼성 계정 시스템의 데이터베이스(DB) 제품을 변경하며 제품별 데이터 처리 방식의 차이를 고려하지 않아 시스템 오류를 발생시켰다. 이때 이용자의 개인정보가 유출(오류 260명· 열람 26명)됐다.

삼성클라우드 서비스에 대해서는 2020년 2월부터 5월까지 사이버 공격이 있었고, 이때 76개 계정에서 이미지와 동영상이 유출됐다

삼성닷컴 온라인스토어 시스템에서는 개발 오류로 이용자가 타인의배송정보를 조회해 개인정보가 유출(오류 62명·열람 19명)됐다.

개인정보위는 이처럼 유출이 연속적으로 일어난 삼성전자에 대해 개인정보 보호법상 안전조치의무 이행 미흡으로 과징금 8억7558만원과 과태료 1400만원을 부과함과 동시에 전반적 보호체계 점검·개선 등 전사적 차원의 재발 방지대책 수립 등의 시정조치를 명령했다.

같은날 LG헬로비전은 11억3179만원의 과징금과 1740만원의 과태료를 받았다. 이들은이동통신(알뜰폰) 제공과 관련된 누리집(홈페이지)에서 1:1 상담문의 게시판을 운영하면서 웹 취약점에 대해 조치를 하지 않아 해커의 공격으로 4만6134명의 개인정보가 유출됐다.

또 초고속인터넷, 케이블TV 등의 서비스 제공과 관련된 홈페이지를 운영하면서 소프트웨어 개발 회사가 공개한 세션 보안 취약점에 대한 최신화 조치(업데이트)를 하지 않아 세션 오류로 인해 이용자의 개인정보가 유출됐다. 아울러 개인정보 유출신고와 유출통지를 지연한 사실도 확인됐다.

세무 서비스앱 삼쩜삼 운영사인 자비스앤빌런즈는 이용자 동의 없이 개인정보를 수집하고 민감정보를 처리해 과징금 8억5410만원과 과태료 1200만원을 부과받았다. 이 회사는 또 이용자에게서 수집한 주민등록번호를 통해 홈택스 로그인을 하고 소득 정보 수집, 세무대리인 수임 동의, 환급신고 대행을 한 사실이 드러났다.

자비스앤빌런즈는 개인정보위 조사 과정 중 이런 절차를 개선해 현재는 환급 신고 대행 시에만 주민등록번호를 수집한 후 회원 탈퇴 시까지만 저장·보유하고 있다. 개인정보위는 이에 대해서는 주민등록번호를 단순 전달 후 파기하고, 파일 등으로 저장·보유하는 행위를 금지하도록 시정조치를 명령했다.

기공수련, 출판, 운동기구 판매 서비스를 제공하는 타오월드는 침입차단시스템의 도입·운영과 취약점 점검을 소홀히해, 해커에게 1만3470명의 이용자 정보를 탈취당했다. 아울러 민감 정보에 해당하는 건강 관련 정보를 구체적 안내나 별도 동의 없이 수집·보관한 사실 등이 드러나 과징금 1054만원과 과태료 1140만원을 부과받았다.

남석 개인정보위 조사조정국장은 “대규모 개인정보를 보유하거나 민감한 개인정보를 처리하는 사업자의 경우, 책임감을 갖고 이용자의 개인정보가 안전하게 보관되도록 기술적·관리적 보호조치 등의 법적 의무사항을 충실히 준수하여야 한다”면서 "해킹 같은 외부 공격과 내부 원인에 의한 개인정보 유출 등은 주기적인 보안 최신화, 취약점 점검, 상시 교육 등의 노력을 통해 상당 부분 예방이 가능하다”고 말했다.