'2만8000명 개인정보 유출' 보람상조 7개사 과징금 5.4억(종합)

이름·휴대전화번호·이메일 등 개인정보 해커가 탈취

송경희 개인정보보호위원회 위원장이 13일 오후 서울 종로구 세종대로 정부서울청사에서 열린 전체회의에서 모두 발언을 하고 있다. 2026.5.13 ⓒ 뉴스1 김명섭 기자

(서울=뉴스1) 이기림 기자 = 회원 개인정보가 유출된 보람상조개발 등 보람상조 계열사들이 과징금 총 5억 4250만 원과 과태료 1140만 원을 부과받았다. 해당 사업자는 보람상조개발, 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스 등 7개 사다.

개인정보보호위원회는 지난 13일 제9회 전체회의를 열고, 개인정보 보호법을 위반한 보람상조 7개 사업자에 대해 이같은 제재와 함께 시정 및 공표 명령을 의결했다고 14일 밝혔다.

개인정보위는 2024년 5월 28일 보람상조개발로부터 개인정보 유출 신고를 접수하고 조사에 착수했다.

보람상조개발은 보람상조리더스 등 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해 왔다.

조사 결과, 보람상조개발은 해당 시스템 관련 접근제어 등 안전성 확보조치를 소홀히 한 것으로 드러났다.

위탁사인 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있지만 이를 충분히 이행하지 않은 것으로 확인됐다.

이에 해커가 홈페이지의 취약점을 이용한 에스큐엘 인젝션(SQL Injection) 공격을 통해 해당 DB에 침입해 고객의 개인정보를 탈취했다.

유출된 개인정보는 보람상조 홈페이지 통합 회원 및 온라인 상담 신청자 등의 이름, 휴대전화번호, 생년월일, 이메일, 아이디, 비밀번호 등 2만 7882건이다.

또한 보람상조개발이 유출 사실을 인지한 후 정보주체에게 지체 없이 통지해야 하지만 법정 기한을 넘겨 통지한 사실, 보유 기간이 지난 개인정보를 파기하지 않고 보관한 사실도 드러났다.

개인정보위는 보람상조개발에 안전조치의무 위반 등으로 과징금 5억 3100만 원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1140만 원을, 계열사에는 수탁자에 대한 관리·감독 책임을 물어 총과징금 1150만 원 부과 및 처분 내용을 홈페이지에 공표하도록 명령했다.

아울러 그룹 차원의 전반적 개인정보 처리 현황 점검·정비 및 의사결정체계 정비, 위수탁 관계 투명성 확보 등을 내용으로 하는 시정조치 명령을 통해 그룹 전체의 개인정보 보호 수준을 강화하도록 했다.

개인정보위는 상조 분야 전반에 대한 개인정보 처리실태 점검 및 관행 개선을 위한 사전실태점검도 진행하고 있다.

앞서 보람상조는 지난 2024년 5월 말 홈페이지를 통해 "깊이 사과드린다"며 개인정보 유출 사실을 통지했다.

당시 보람상조는 "본 사안을 인지한 직후 사고 원인을 신속하게 파악해 유관 기관에 이를 신고하고 적극적으로 협조하고 있다"고 밝혔다.

lgirim@news1.kr