‘개인정보 2만여건 유출’ 페이팔에 과징금 9억원 부과

고학수 개인정보보호위원회 위원장이 25일 서울 종로구 정부서울청사에서 열린 제17회 개인정보보호위원회 전체 회의에서 참석해 모두발언을 하고 있다. 개인정보보호위원회 

개인정보 보호 법규를 위반한 온라인 간편결제 서비스 제공자 페이팔에 대해 9억여원의 과징금이 부과됐다.

개인정보보호위원회(개인정보위)는 25일 전체회의를 열고 싱가포르 소재 기업 페이팔에 대해 과징금 9억600만원과 과태료 1620만원을 부과하기로 의결했다고 26일 밝혔다.

페이팔은 지난 2021년 12월 송금 기능 해킹과 내부직원의 이메일 피싱으로 한국 이용자의 개인정보가 유출됐다고 개인정보위에 신고했다. 이에 개인정보위에서 조사에 착수했다. 이후 지난 1월 ‘크리덴셜 스터핑 공격’으로 개인정보가 유출됐다고 추가로 신고해 총 3건의 유출사고를 조사했다. 크리덴셜 스터핑은 사전에 확보한 다수의 아이디와 비밀번호를 무작위로 대입해 로그인을 시도하는 공격이다.

조사 결과, 페이팔은 개인정보 보호법을 위반, 안전조치 의무를 소홀히 했다. 유출 통지·신고 또한 지연한 사실이 확인됐다.

송금 기능 해킹으로 2만2067명의 이름과 국가 코드, 프로필 사진이 유출됐다. 크리덴셜 스터핑 공격으로는 336명의 이름, 생년월일, 주소, 핸드폰번호가 유출됐다. 특정 아이피에서 반복적으로 접근해 개인정보가 유출됐음에도 미리 탐지·차단하지 못했다. 개인정보위는 개인정보처리시스템에 대한 침입차단 및 시스템 운영을 소홀히 했다고 판단했다.

내부직원 메일 피싱으로 가맹점주 등 1186명의 이름, 업무용 메일, 전화번호, 주소가 유출됐으나 이는 특정 직원의 대처가 소홀했기 때문으로 파악됐다.

페이팔은 개인정보 유출 방지 등을 위한 보호조치를 설명하면서 개인정보보호를 위한 노력을 펼쳤다고 반론했다.

다만 위원회는 글로벌 기업으로 안전조치를 강화할 필요가 있고 송금 기능 해킹 및 크리덴셜 스터핑 공격 관련 조치 사항 등을 종합적으로 고려, 사회통념상 합리적으로 기대 가능한 조치를 충분히 하지 않았다고 판단했다.

이소연 기자 soyeon@kukinews.com