‘투약기록 관리 서비스 개인정보 유출’ 머크, 과징금 8천만원

임유경 2025. 6. 12. 12:00
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

개인정보보호위원회는 11일 전체회의를 열고 개인정보 보호 법규를 위반한 머크, 온플랫, 디알플러스 3개 사업자에 대해 총 1억1242만 원의 과징금과 1440만 원의 과태료를 부과하고, 시정명령 및 결과 공표를 의결했다고 밝혔다.

이에 따라 개인정보위는 디알플러스에는 과징금 3242만 원과 과태료 840만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

닫기
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
개인정보위 11일 전체회의 열고 처분 의결
결제 내역 유출 디알플러스, 과징금 3242만원

[이데일리 임유경 기자] 개인정보보호위원회는 11일 전체회의를 열고 개인정보 보호 법규를 위반한 머크, 온플랫, 디알플러스 3개 사업자에 대해 총 1억1242만 원의 과징금과 1440만 원의 과태료를 부과하고, 시정명령 및 결과 공표를 의결했다고 밝혔다.

머크는 제조·판매하는 의약품에 대한 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시하면서, 시스템 오류로 최대 108명의 개인정보가 유출됐다. 조사 결과 머크는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 해 해당 서비스에 접속하는 이용자가 동일인으로 처리되어, 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있었다. 머크는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실도 확인됐다.

이에 따라 개인정보위는 머크㈜에 과징금 8000만 원과 과태료 600만 원을 부과하고 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하도록 했다.

개인정보위는 온플랫에 대한 조사과정에서 동일한 해킹 공격(SQL 삽입 공격)으로 같은 대표자가 운영 중인 디알플러스에서도 유출 사실을 인지하여 함께 조사했고, 각각 최소 80명, 98명의 결제내역 등 개인정보가 유출된 것을 확인했다. SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적인 SQL 데이터베이스 명령어문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.

개인정보위 조사 결과 온플랫은 SQL 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않았으며, 온플랫과 디알플러스 모두 외부에서 개인정보처리시스템에 접속하는 경우 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관하지 않은 것으로 확인됐다. 아울러, 디알플러스는 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장했으며, 개인정보 유출 신고 및 통지를 지연한 사실도 확인됐다.

이에 따라 개인정보위는 디알플러스에는 과징금 3242만 원과 과태료 840만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다. 온플랫에는 시정명령과 더불어 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

임유경 (yklim01@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.