페이팔 9억 과징금… "해외기업도 개인정보 침해시 제재"

/사진=개인정보보호위원회

글로벌 온라인 간편결제 서비스 기업인 페이팔이 국내 당국으로부터 9억원 이상의 과징금 처분을 받았다. 해외 소재 기업임에도 한국 이용자의 개인정보를 처리할 때 국내법상 안전조치 의무를 충실히 이행해야 했음에도 그러지 못했다는 이유에서다.

개인정보보호위원회는 지난 25일 전체회의에서 싱가포르 소재 페이팔에 9억600만원의 과징금과 1620만원의 과태료를 부과하기로 의결했다며 26일 이같이 밝혔다.

앞서 2021년 12월 페이팔은 송금 기능 해킹, 내부직원 이메일 피싱 등으로 한국 이용자의 개인정보가 유출됐다며 개인정보위에 신고했다. 올 1월에는 추가로, 사전 확보한 다수의 ID와 비밀번호를 무작위로 대입해 접속을 시도하는 공격 방식인 '크리덴셜 스터핑' 공격으로 개인정보가 유출됐다며 신고했다.

송금기능 해킹에 의해 2만2067명의 이름과 국가코드, 프로필 사진이 유출됐고 크리덴셜 스터핑 공격으로 336명의 이름과 생년월일, 주소, 핸드폰 번호가 유출됐다. 개인정보위는 특정 IP(인터넷 주소)에서 반복적 접근을 통해 개인정보가 유출됐음에도 페이팔이 이를 미리 탐지·차단하지 못하는 등 개인정보 처리 시스템에 대한 침입 차단·탐지 시스템 운영을 소홀히 했다고 판단했다.

페이팔 직원 이메일 피싱으로 가맹점주 등 1186명의 이름, 업무용 이메일 및 전화번호, 주소 등이 유출된 것은 안전조치 의무 소홀보다 특정 직원의 대처가 소홀했기 때문인 것으로 판단됐다. 페이팔은 해당 3건의 개인정보 유출사고에 대한 통지·신고도 지연했다.

페이팔은 개인정보 유출 방지 등을 위한 자사의 다양한 보호 조치를 설명하면서 다수의 정보보호 관련 인증 취득, 정보보호 관련 국제 보안 표준 마련에 기여하는 등 개인정보 보호를 위한 노력을 펼쳤다고 주장했다. 그러나 개인정보위는 전 세계에 서비스를 제공하는 글로벌 기업으로 안전조치를 강화할 필요가 있고, 송금 기능 해킹 및 크리덴셜 스터핑 공격 관련 조치사항 등을 종합적으로 고려했을 때, 사회통념상 합리적으로 기대가능한 정도의 보호조치를 충분히 했다고 하기 어렵다고 판단했다.

황국상 기자 gshwang@mt.co.kr