개인정보위, '페이팔'에 과징금 9억…"2만3000여건 유출"

  • 등록 2023-10-26 오후 12:35:15

    수정 2023-10-26 오후 12:35:15

고학수 개인정보보호위원회 위원장(사진=개인정보보호위원회)
[이데일리 김가은 기자] 개인정보보호위원회는 전체회의를 열고 개인정보보호 법규를 위반한 싱가포르 소재 온라인 간편결제 서비스 제공자 ‘페이팔’에 과징금 9억 600만원과 과태료 1620만원을 부과하기로 의결했다고 26일 밝혔다.

개인정보위는 지난 2021년 12월 페이팔이 송금 기능 해킹과 내부직원 이메일 피싱(전자우편 사기)로 국내 이용자 개인정보가 유출됐다고 신고함에 따라 조사에 착수했다. 또 올해 1월 크리덴셜 스터핑 공격으로 개인정보가 유출된 사실을 추가 신고해 총 3건의 유출 사고를 함께 조사했다.

조사 결과, 페이팔이 ‘개인정보 보호법’을 위반해 안전조치의무를 소홀히 하고, 유출 통지·신고를 지연한 것으로 나타났다.

먼저 송금 기능 해킹으로 2만2067명의 이름, 국가 코드, 프로필 사진이 유출됐다. 뿐만 아니라 크리덴셜 스터핑 공격으로 336명의 이름, 생년월일, 주소, 핸드폰 번호가 유출됐고, 특정 인터넷주소(IP)에서 반복적으로 접근해 개인정보가 유출됐음에도 이를 미리 탐지·차단하지 못했다. 이는 개인정보처리시스템에 대한 침입차단과 침입탐지시스템 운영을 소홀히 한 영향으로 나타났다.

그러나 내부직원 이메일 피싱으로 가맹점주 등 1186명의 이름, 업무용 전자우편·전화번호·주소가 유출된 것은 안전조치의무 소홀보다 특정 직원의 대처가 소홀했기 때문인 것으로 조사됐다. 아울러 총 3건의 개인정보 유출 사고와 관련해 통지와 신고를 지연한 사실도 드러났다.

페이팔 측은 개인정보 유출 방지 등을 위한 다양한 보호조치를 설명하면서 다수 정보보호 관련 인증 취득, 정보보호 관련 국제 보안 표준 마련에 기여하는 등 개인정보보호를 위한 노력을 펼쳤다고 주장했다.

그러나 위원회는 전 세계에 서비스를 제공하는 글로벌 기업으로 안전조치를 강화할 필요가 있다고 판단했다. 또한 송금 기능 해킹과 크리덴셜 스터핑 공격 관련 조치사항 등을 종합적으로 고려했을 때, 사회통념상 합리적으로 기대가능한 정도의 보호조치를 충분히 했다고 하기 어렵다고 결론지었다.

개인정보위 측은 “이번 조치는 국외에 존재하는 글로벌 사업자에 대해 우리 보호법상 안전조치의무를 적용해 위반행위에 대해 처분한 건”이라며 “해외사업자가 국외에서 한국 이용자의 개인정보를 처리하는 경우라도 우리 보호법에 맞는 충분한 조치를 다 할 필요가 있다는 것을 다시 한번 환기시키는 계기가 될 것”이라고 했다.

이데일리
추천 뉴스by Taboola

당신을 위한
맞춤 뉴스by Dable

소셜 댓글

많이 본 뉴스

바이오 투자 길라잡이 팜이데일리

왼쪽 오른쪽

스무살의 설레임 스냅타임

왼쪽 오른쪽

재미에 지식을 더하다 영상+

왼쪽 오른쪽

두근두근 핫포토

  • 몸짱 싼타와 함께 ♡~
  • 노천탕 즐기는 '이 녀석'
  • 대왕고래 시추
  • 트랙터 진격
왼쪽 오른쪽

04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리

대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.krI 사업자번호 107-81-75795

등록번호 서울 아 00090 I 등록일자 2005.10.25 I 회장 곽재선 I 발행·편집인 이익원 I 청소년보호책임자 고규대

ⓒ 이데일리. All rights reserved