개인정보위, 78만명 정보 유출한 인터파크에 과징금 10억 부과

고학수 개인정보보호위원회 위원장이 14일 열린 위원회 전체회의에서 발언하고 있다(사진=개인정보보호위원회)

[이데일리 김가은 기자] 개인정보보호위원회는 전체 회의에서 안전 조치 의무를 소홀히 해 개인정보 유출 사태를 빚었거나 신고·통지 의무를 위반한 8개 사업자에게 과징금과 과태료 등 제재를 가하기로 결정했다고 14일 밝혔다.

이번 제재 대상에 오른 기업은 △드림어스컴퍼니(060570) △고시아카데미 △무신사 △빌박닷컴 △리니칼코리아 △인터파크 △리본즈 △팍스넷 등이다. 이들에게 부과한 과징금은 총 16억5945만원, 과태료는 5500만원이다.

인터파크는 여행·쇼핑 등 분야 온라인 중개플랫폼(인터파크)을 운영하면서 동일한 인터넷주소(IP)에서 대규모로 접속(로그인)을 시도하는 경우와 같이 비정상적인 시도에 대응할 수 있는 차단 정책을 적용하지 않아 개인정보 78만4920건이 유출됐다. 이에 개인정보위는 과징금 10억2645만원, 과태료 360만원, 시정명령 등 제재 처분을 부과했다.

증권정보 제공 사이트 ‘팍스넷’를 운영하는 팍스넷 역시 크리덴셜 스터핑 공격으로 이용자 개인정보 28만4054건이 유출됐다. 리본즈는 명품 온라인쇼핑몰 ‘리본즈’을 운영하면서, 아마존웹서비스(AWS) 내 개발 서버 접근권한을 IP 주소 등으로 제한하지 않았다. 또 해커가 획득한 AWS 계정정보를 통해 개인정보 118만3325건이 유출됐다.

드림어스컴퍼니는 시스템 작업 중 설정 오류로 인해 신규 가입회원 정보와 소셜 로그인으로 신규 접속하는 회원 정보가 테스트용 데이터베이스(DB)에 저장됐다. 이로 인해 이용자(회원)가 로그인 시 다른 계정으로 로그인되는 상황이 발생, 타인 개인정보가 보이면서 보호법 위반사항이 확인됐다.

고시아카데미는 관리자 인증 절차를 누락한 채 시스템을 운영함으로써 이름 등으로 회원을 검색하는 페이지에 누구나 접근이 가능했다. 이에 따라 구글 검색엔진에서 회원 정보가 검색되는 등 문제가 발견됐다.

무신사는 이용자 편의를 위해 모바일 환경(모바일 웹, 앱)에서 배송지 변경 기능을 이용하기 쉽게 개선하면서, 비회원에게도 ‘지난 배송지 목록’이 자동으로 보여지도록 하는 설정 오류가 있었다. 비회원이 주문결제 후 배송지 변경 시, 다른 회원 배송지 정보가 열람됐다.

또 이들 3개 사업자는 또한 유출 사실을 인지하고도 정당한 사유 없이 24시간 경과 후에 이용자에게 유출 사실을 신고하거나 통지하여 개인정보 보호법을 위반했다.

리니칼코리아의 경우 개인정보가 포함된 백업파일 보관업무를 위탁하면서 위·수탁 계약을 문서로서 체결하지 않았다. 또한 정보주체에게 위탁업무 내용과 수탁자를 공개하지 않은 사실이 확인돼 과태료 처분을 받았다.

빌박닷컴은 부동산 정보를 제공하는 누리집 관리자페이지 접근제한 등을 소홀히 해 해커 공격에 의해 개인정보가 유출됐으며, 해당 정보주체에게 유출 통지도 하지 않은 것으로 조사됐다.

남석 개보위 조사조정국장은 “시스템 관리·운영 소홀 등 내부적 부주의로 인해 최근 개인정보가 유출되는 사고가 빈번하게 발생하고 있다”며 “개인정보를 처리하는 사업자는 유출 사고가 일어나지 않도록 안전조치와 관련된 의무사항이 제대로 적용되었는지 상시 점검하고, 2차 피해를 방지할 수 있도록 유출신고와 통지 등을 성실하게 이행해야 한다”고 말했다.