[이데일리 최연두 기자] 개인정보보호위원회는 지난 26일 열린 제11회 전체회의에서 개인정보보호 법을 위반한 ‘호텔스컴바인’과 ‘머니투데이방송’에 과징금·과태료를 부과하기로 의결했다고 밝혔다.
| 고학수 개인정보보호위원회 위원장이 지난 26일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제11회 개인정보위 전체회의에서 모두말씀을 하고 있다.(사진=개인정보위) |
|
호텔스컴바인은 앞선 2013년 호텔 예약 플랫폼 개발 당시 예약정보만 조회 가능한 접근 권한만으로 예약정보와 카드정보까지 조회 가능한 계정을 추가 생성할 수 있도록 시스템을 잘못 설계한 것으로 나타났다. 해커는 이를 악용, 피싱 수법으로 아이디·비밀번호를 탈취해 호텔스컴바인 시스템에 접속했고 카드 정보까지 접근할 수 있는 계정을 생성했다. 그 결과 한국 이용자 1246명의 이름과 이메일 주소, 호텔 예약정보, 카드정보가 조회·유출됐다. 해당 사업자가 유출 통지·신고를 뒤늦게 한 사실도 확인됐다.
개인정보위는 호텔스컴바인에 9450만원의 과징금과 1600만원의 과태료를 부과 결정을 의결했다.
머니투데이방송의 경우 운영 중이던 광고 공모전 사이트가 해커의 에스큐엘 주입(SQL인젝션) 공격을 받아 관리자 계정·회원 개인정보(13만3633건, 중복 포함)가 지난 2022년 9월 유출됐다. SQL인젝션 공격 방지를 위한 입력값 검증 등의 조치를 일부 누락하고, 개인정보 취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않았다. 이와 함께 탈퇴한 회원의 정보를 파기하지 않고 보관했고 개인정보 유출 통지를 지연한 사실도 확인됐다.
이에 개인정보위는 머니투데이방송을 상대로 과징금(6778만원)과 과태료(1140만원) 부과 처분을 내렸다. 두 업체의 처분 결과는 위원회 홈페이지에 공표할 예정이다.