해킹, 업무상 실수로 개인정보 유출…개인정보위, 16개 사업자에 과태료

[이데일리 김국배 기자] 해킹이나 업무 담당자 실수로 개인정보가 유출된 사업자들이 수백만원대 과태료 처분을 받았다.

개인정보보호위원회는 23일 전체회의를 열고 안전조치 소홀에 따른 해킹이나 업무상 과실로 개인정보가 유출된 16개 사업자에 총 2370만원의 과징금과 9200만원의 과태료를 부과하기로 의결했다.

윤종인 개인정보보호위원회 위원장이 23일 오전 정부서울청사에서 개최된 제5회 개인정보보호위원회 전체회의에서 모두 발언을 하고 있다. (사진=개인정보보호위원회)

개인정보위에 따르면 캔바 등 4개 사업자는 아마존의 클라우드 서비스(AWS)를 이용하면서 인증 수단을 적용하지 않아 해커에게 관리자 접근권한(액세스 키)을 탈취당한 게 화근이었다. 그 결과 캔바는 23만6775건, 징가는 1만3057건, 플루쿠는 2230건, 하우빌드는 3771건의 이름·연락처 등 개인정보가 유출됐다.

한국화재연구소(427건), 넬슨스포츠(2696건), 아시아나항공(198건), SK하이닉스(2207건), 성보공업(276건) 등 5개 사업자는 SQL 인젝션, 웹셸, 무작위 대입 공격 등의 해킹 방법에 의해 개인정보가 새나갔다.

강원도의사회 등 4개 사업자는 업무상 실수로 개인정보가 외부에 공개되거나 내부 직원들에게 잘못 전달된 경우였다. 강원도의사회는 홈페이지 유지보수 업체의 실수로 다른 홈페이지에 의사회 선거인명부(3320명)가 게시됐고, 한국투자신탁운용은 웹페이지 개발 중에 접근 통제가 안 돼 온라인 세미나 참가 신청자명단(2932명)이 인터넷에서 검색됐다.

스태츠칩팩코리아와 제이셋스태츠칩팩코리아는 담당 직원이 교육 안내 메일을 보내면서 인사정보 파일을 잘못 첨부했다.

탈취당한 개인정보 일부는 다크웹, 텔레그램에 무단 게시되거나 광고성 스팸 메일 등에 악용된 것으로 조사됐다. 넬슨스포츠에서 유출된 개인정보는 텔레그램에, 한국화재연구소·휘닉스중앙·하우빌드의 유출 정보는 다크웹에 올라왔다.

사업자별 위반사항 및 처분 세부 내용

주민등록번호를 유출하거나 잘못 처리한 사례도 있었다. 성보공업에서는 주민등록번호가 포함된 입사 지원서(83건)가 유출됐으며, 하우빌드는 권한 없이 주민등록번호를 처리했다. 스태츠칩팩코리아는 주민등록번호를 암호화하지 않았다. 캔바·징가·플루크·성보공업·휘닉스중앙 등 일부 사업자들은 유출 사실을 알고도 피해자들에게 즉시 통지하지 않은 사실이 적발됐다.

개인정보위는 법규를 위반한 16개 사업자 모두에게 과태료를 부과했다. 안전조치를 소홀히 해 개인정보가 유출된 징가와 하우빌드, 암호화하지 않은 주민등록번호가 유출된 성보공업에는 과징금도 부과했다. 앞으로 개인정보위는 클라우드를 통한 해킹 사고가 빈번하게 발생하는 점을 감안해 아마존 등 클라우드 서비스 기업과 함께 개인정보 보호를 위한 교육·홍보를 추진해 나갈 계획이다.

양청삼 개인정보위 조사조정국장은 “개인정보가 유출되지 않도록 사전에 안전조치를 잘 하는 것도 중요하지만 사고 이후 피해가 확산되지 않도록 피해자들에게 알리는 것도 중요하다”며 “유출이 발생한 경우 피해자들이 더 큰 피해를 당하지 않도록 즉시 유출 통지를 해달라”고 당부했다.