2만8000명 고객정보 '숭숭'… 보람상조 계열사 통합 관리 부실에 5억대 과징금

개인정보보호위, 지주사와 계열사 6곳 제재
회원 DB 접근 제어 소홀… 개보위 신고 늦어

송경희 개인정보보호위원회 위원장이 13일 정부서울청사에서 열린 제9차 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 개인정보보호위원회 제공

보람상조가 회원 2만8,000여 명의 개인정보를 통합 관리하는 과정에서 보안·관리 감독을 소홀히 해 5억5,000만 원대 과징금·과태료 처분을 받았다.

개인정보보호위원회는 13일 제9차 전체회의를 열고 보람상조의 개인정보보호법 위반 행위에 과징금 5억3,100만 원과 과태료 1,140만 원을 부과하기로 의결했다고 14일 밝혔다. 제재 대상은 지주사 역할을 하는 보람상조개발과 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스 등 계열사 6곳이다.

보람상조개발은 2024년 5월 28일 개보위에 개인정보 유출을 신고했다. 조사 결과 보람상조개발은 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 홈페이지 회원 정보를 통합 관리하는 데이터베이스(DB)를 운영하면서 접근 제어 등 안전 조치를 제대로 하지 않은 것으로 파악됐다.

이 과정에서 해커는 홈페이지 취약점을 이용한 'SQL(구조적 질의 언어) 인젝션' 공격으로 DB에 침입해 이름과 휴대폰 번호, 아이디(ID), 비밀번호, 생년월일, 성별, 이메일 등 개인정보를 빼낸 것으로 조사됐다. 유출 규모는 홈페이지 통합 회원과 온라인 상담 회원 정보를 합쳐 총 2만7,882건이다. SQL 인젝션 공격은 웹사이트 보안 취약점을 이용해 악의적인 SQL 구문을 입력하고 DB를 조작하거나 정보를 탈취하는 해킹 수법이다.

개보위는 개인정보 처리 업무를 맡긴 계열사 6곳의 수탁자인 보람상조개발이 교육·감독 의무를 충분히 이행하지 않았다고 판단했다. 또 보람상조개발이 개인정보 유출 사실을 인지한 뒤 법정 기한인 72시간을 넘겨 정보주체(개보위)에 통지했고, 보유 기간이 지난 개인정보도 파기하지 않았다고 밝혔다.

개보위는 이들에게 처분 내용을 홈페이지에 공표하도록 명령하고 그룹 차원의 개인정보 처리 현황과 의사결정 체계 전반을 점검·정비하라고 명령했다. 계열사 간 위수탁 관리 체계 개선도 요구했다.

개보위는 1월부터 상조업계 전반의 개인정보 처리 실태와 관행·개선 상태를 점검하기 위한 사전 실태 점검도 하고 있다. 지난해 하반기 개인정보보호법 위반으로 시정명령 등을 받은 222건 가운데 211건(95%)은 조치를 이행한 것으로 나타났다.

김지섭 기자 onion@hankookilbo.com