'고객정보 유출' 보람상조에 과징금·과태료 5.5억

송경희 개인정보보호위원회 위원장이 지난 13일 오후 서울 종로구 정부서울청사에서 개최된 2026년 제9회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.

개인정보보호위원회가 고객 개인정보를 유출한 보람상조 계열사들에 대해 제재를 결정했다. 개인정보 통합 관리 과정에서 안전조치 의무를 소홀히 하고 수탁자 관리·감독 책임을 다하지 않았다는 판단이다.

개인정보위는 보람상조개발과 보람상조리더스·보람상조라이프·보람상조피플·보람상조애니콜·보람상조실로암·보람상조플러스 등 7개 사업자에 과징금 5억4250만원과 과태료 1140만원을 부과하고 시정명령 및 공표명령을 의결했다고 14일 밝혔다.

개인정보위 조사 결과 보람상조개발은 그룹 계열사들로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해 왔다. 그러나 해당 시스템에 대한 접근제어 등 안전성 확보 조치를 미흡하게 수행한 것으로 나타났다.

해커는 홈페이지 취약점을 이용한 '에스큐엘 인젝션(SQL Injection)' 공격으로 DB에 침입해 고객 이름과 휴대전화번호, 이메일 등 개인정보를 탈취한 것으로 조사됐다.

개인정보위는 위탁사인 6개 계열사들 역시 수탁자인 보람상조개발에 대한 교육·감독 의무를 충분히 이행하지 않았다고 판단했다. 또 보람상조개발은 개인정보 유출 사실을 인지한 뒤 정보주체에게 법정 기한 내 통지하지 않았고, 보유 기간이 지난 개인정보를 파기하지 않은 사실도 확인했다.

이에 따라 보람상조개발에 안전조치 의무 위반 등의 책임을 물어 과징금 5억3100만원과 과태료 1140만원을 부과했다. 계열사 6곳에는 수탁자 관리·감독 책임 위반으로 총 1150만원의 과징금을 부과했다.

개인정보위는 현재 상조업계 전반을 대상으로 개인정보 처리 실태와 관행 개선을 위한 사전 실태점검을 진행 중이다. 앞으로도 대규모 개인정보 처리 사업자와 복잡한 위수탁 구조를 가진 기업에 대한 감독을 강화할 계획이다.

박진형 기자 jin@etnews.com