불법보관 개인정보까지 털렸다…모두투어 7억대 과징금

306만명 규모 개인정보 유출사고
안 지운 개인정보 탓에 피해규모↑
사고 후 '72시간 유출통지'도 위반

지난 1월9일 서울 중구 모두투어 본사./사진=뉴시스

모두투어가 306만명 규모 개인정보 유출사고로 부실한 관리실태를 지적받고 7억원대 과징금·과태료를 부과받았다.

개인정보보호위원회는 지난 12일 전체회의에서 모두투어에게 과징금 7억4700만원, 과태료 1020만원과 공표명령·개선권고를 부과하기로 의결했다고 13일 밝혔다.

모두투어에선 지난해 6월 데이터베이스(DB)에서 회원·비회원 306만여명의 국문·영문 이름과 생년월일·성별·휴대전화번호 등이 해킹으로 유출됐다.

해커는 모두투어가 운영 중인 웹사이트에서 파일 업로드 기능에 대한 보안취약점을 발견, 악성코드를 웹서버에 업로드한 뒤 실행하는 '웹셸(Web Shell)' 기법을 공격에 활용했다.

웹셸 공격은 웹서버가 업로드된 파일의 확장자를 검증하거나 실행권한을 제한하면 차단할 수 있다. 개인정보위는 모두투어가 보안취약점 점검·차단조치를 소홀히 했고, 개인정보 접근통제에도 미흡했다고 지적했다.

모두투어는 또 2013년 3월부터 수집한 누적 316만명치 비회원 개인정보를 보유기간 이후까지 파기하지 않고 무단 보관했다가 사고 피해규모를 키운 사실이 유출사고 조사과정에서 드러났다.

이 밖에 모두투어는 개인정보보호법에 따라 개인정보 유출사실을 인지한 뒤 72시간 안에 통지절차를 이행해야 했지만, 지난해 7월 유출사고를 인지하고도 2개월 뒤에야 통지절차에 돌입한 점도 적발됐다.

개인정보위는 "웹셸 공격은 잘 알려진 공격이지만 DB 접근이 가능하기 때문에 피해 정도가 크다"며 "사전 탐지·차단 강화와 업로드 취약점 점검·조치 등 주의·예방이 필요하다"고 밝혔다.

이어 "대규모 개인정보 처리사업자는 개인정보 보유기간을 넘기거나 처리목적을 달성하면 앞서 수집한 정보를 지체 없이 파기해 혹시 모를 유출사고가 발생했을 때 피해규모를 최소화해야 한다"고 덧붙였다.

개인정보위는 또 "정보주체의 2차피해 등을 예방하기 위해 개인정보 유출사실을 인지한 즉시 통지할 수 있도록 내부 개인정보 보호체계를 정비하라"고 설명했다.

성시호 기자 shsung@mt.co.kr