개인정보위, '해피톡·다배송' 시정조치 명령

개인정보 관리 소홀…"개정법 시행 후엔 수탁자도 처벌" 강조

(지디넷코리아=김윤희 기자)고객상담 채팅 솔루션 ‘해피톡’ 운영사 엠비아이솔루션과 배송대행 서비스 운영사 다배송이 개인정보 유·노출에 따른 당국 제재를 받았다.

개인정보보호위원회는 지난 22일 전체회의를 열고 개인정보보호법을 위반한 2개 사업에 대해 시정조치 명령을 의결했다고 밝혔다.

엠비아이솔루션은 해커가 관리자 계정으로 해피톡 서버에 접속해 이름·전자우편·주문내역 등이 포함된 고객사의 상담내역 8만7천270건이 유출됐다. 

엠비아이솔루션은 데이터베이스(DB)에 접속할 수 있는 관리자 계정 패스워드를 형상관리서버에 암호화하지 않은 채 저장했다. 개인정보처리시스템에 대한 접근통제, 접속기록 관리 등 개인정보 안전성 확보에 필요한 조치를 소홀히 한 사실도 확인됐다.

다배송은 배송정보 관리자 페이지에 대한 로그인 검증 절차를 누락해 누구라도 해당 페이지에서 배송자의 이름·주소·전화번호·개인통관부호 등 개인정보를 조회할 수 있도록 소홀히 운영해 700건의 배송정보가 유출된 사실을 확인했다.

(이미지=개인정보보호위원회)

2개 사업자 모두 개인정보가 유출된 이용자를 대상으로 개인정보가 유출된 사실을 통지하지 않았다.

개인정보위는 이 사업자들에게 다수 위탁사의 개인정보 처리를 대행하는 대형 수탁자로서 개인정보 보호 관련 책임의식을 갖고 법규 상 안전조치 의무와 유출통지 의무를 준수하고, 재발방지대책을 수립·이행할 것 등 시정조치 명령을 의결했다.

엠비아이솔루션과 다배송은 수탁자로서 시정조치 명령이 의결됐다. 개인정보위는 최근 개정된 개인정보보호법에서는 변화된 환경에 맞춰 수탁자에 대해서도 위반 행위에 대한 과징금·과태료 등 처분을 규정해 각별한 주의가 요구된다고 강조했다.

특히 다수의 위탁자로부터 개인정보 처리를 위탁받은 대형 수탁자는 처리하는 개인정보의 규모가 크기 때문에 강화된 개인정보 보호 책임 의식을 가지고 안전조치 의무를 다할 수 있도록 상시 점검해야 할 필요가 크다고 했다.

김윤희 기자(kyh@zdnet.co.kr)