참좋은여행 등 3곳, 개인정보보호법 위반 3억원 과징금

개인정보 보호조치 소홀 등…1800만원 과태료 부과

최장혁 개인정보위원회 부위원장이 13일 서울 종로구 정부서울청사에서 열린 제5회 전체회의에서 모두발언을 하고 있다. 2024.3.13/뉴스1 ⓒ News1 허경 기자

(서울=뉴스1) 이기림 기자 = 개인정보보호 법규를 위반한 참좋은여행㈜, 루안코리아㈜, ㈜디에이치인터내셔널이 총 3억 3907만 원의 과징금과 1800만원의 과태료를 부과받았다.

개인정보보호위원회는 지난 13일 제5회 전체회의를 열고 이같이 의결했다고 14일 밝혔다.

세 업체에는 각각 과징금 1억 7438만 원·과태료 360만 원, 과징금 1억 5219만 원·과태료 720만 원, 과징금 1250만 원·과태료 720만 원이 부과됐다.

이들 업체는 모두 침입탐지시스템을 운영하지 않거나 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속 시 2차 인증 등 안전한 인증수단을 적용하지 않았다.

대신 아이디와 비밀번호로만 접속 가능하게 운영하다가 해킹으로 개인정보 유출에까지 이르게 한 책임이 있다고 개인정보위는 설명했다.

참좋은여행은 해커가 탈취한 내부 직원의 계정정보로 사내 시스템인 여행 주문관리시스템에 접속해 이용자의 개인정보가 유출됐다. 이를 통해 스팸메일이 발송되는 피해도 발생했다.

루안코리아는 정보통신망을 통해 외부에서 데이터베이스에 접속시 아이디와 비밀번호로만 접속할 수 있도록 운영했다.

침입탐지시스템 미설치로 개인정보 유출 시도 탐지도 하지 못했으며, 비밀번호, 주민등록번호, 계좌번호 등을 암호화하지 않고 평문으로 저장하는 등 개인정보 보호법 안전조치 의무를 소홀히 했다.

디에이치인터내셔널은 웹셸(Webshell) 공격을 통해서 해커가 개인정보를 유출하는 사건이 발생했다. 해당 사업자는 웹셸 등 악의적인 파일이 설치되지 않도록 업로드 파일의 확장자 제한, 홈페이지 보안 취약점 점검·개선 등 개인정보 보호법의 안전조치 의무를 제대로 지키지 않았다.

lgirim@news1.kr