개보위, 페이팔 ‘개인정보 2만여건 유출’ 과징금 9억 부과

페이팔 로고. 로이터 연합뉴스 자료사진.

해킹 공격으로 2만여명의 국내 이용자 개인정보가 유출된 글로벌 결제 서비스 업체 페이팔이 한국 정부로부터 행정 제재를 받았다.

개인정보보호위원회는 지난 25일 전체회의를 열고 개인정보보호법을 위반한 싱가포르 소재 온라인 간편결제 서비스업체 페이팔에 대해 과징금 9억600만원과 과태료 1620만원을 부과하기로 의결했다고 26일 밝혔다.

페이팔은 2021년 12월 송금 기능 해킹으로 이름과 국가 코드, 프로필 사진 등 2만2067건을 유출한 데 이어, 내부 직원이 이메일 피싱을 당해 가맹점주 등의 이름과 전자우편, 전화번호 등 1186건을 유출했다.

올해 초에는 사전에 확보한 아이디 등으로 로그인을 시도하는 방식(크리덴셜 스터핑)으로 공격을 받아 이름과 생년월일, 주소, 핸드폰 번호 등 336건을 또 유출했다. 세 차례에 걸쳐 총 2만3589건의 개인정보가 유출됐지만, 페이팔은 개인정보처리시스템에 대한 침입 차단과 침입탐지시스템 운영을 소홀히 했다. 유출 사고에 대한 신고를 지연한 사실도 확인됐다.

개인정보위는 “페이팔 한국 법인은 없지만, 한국인 이용자 82만명을 위해 한국어로 된 별도 도메인을 쓰고 있다”며 “이런 상황을 고려하면 한국을 대상으로 서비스를 제공하는 것이 명확해 개인정보보호법 적용 대상에 해당한다”고 설명했다. 미국 본사가 아닌 싱가포르 법인에 처분을 내린 것은 페이팔 싱가포르 소재 법인이 한국 이용자의 개인정보를 처리하기 때문이라고 부연했다.

만약 페이팔이 개인정보위 결정에 동의하지 않으면 소송을 제기하거나, 일정 부분 동의하면 과징금을 납부하고 시정조치를 취할 것으로 예상된다. 페이팔은 테슬라 최고경영자인 일런 머스크가 사업 초기에 설립했던 업체다.

한편, 자동차 정비 프랜차이즈 회사인 자동차공임나라와 청첩장 제작·판매회사인 오브콜스도 안전조치 의무를 소홀히 해 각각 이용자 개인정보 72만8680건, 24만1241건을 해킹으로 유출한 것으로 나타났다. 알뜰폰 업체인 와이엘랜드도 해킹으로 이용자 개인정보 22만9600건을 유출했다.

하지만 세 곳 모두 개인정보 유출 통지를 지연한 사실이 확인됐다. 특히, 자동차공임나라와 와이엘랜드는 탈퇴했거나 보유 목적이 종료된 이용자의 개인정보를 파기하지도 않은 것으로 조사됐다.

개인정보위는 자동차공임나라와 와이엘랜드에 각각 과징금 1250만원·과태료 1080만원, 과징금 1억5098만원·과태료 1020만원을 부과하고 시정명령을 내렸다. 오브콜스에는 과징금 3371만원과 과태료 630만원을 부과했다.

김은성 기자 kes@kyunghyang.com