개인정보위, 월급쟁이부자들 등 플랫폼 운영사 2곳에 과징금

[이데일리 최연두 기자] 개인정보보호위원회가 개인정보 안전 조치의무를 위반한 재테크 교육 플랫폼 운영사 ‘월급쟁이부자들’과 중고차 거래 플랫폼 운영사 ‘박차컴퍼니’에 과징금 총 6069만 원 부과 명령을 내렸다.

고학수 개인정보보호위원회 위원장이 지난 4일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제18회 개인정보위 전체회의에서 모두말씀을 하고 있다.(사진=개인정보위)

개인정보보호위원회는 지난 4일 제18회 전체회의를 열고 월급쟁이부자들에 과징금 5110만 원과 과태료 270만 원 부과 관련 안건을 의결했다고 밝혔다.

월급쟁이부자들은 운영 중인 재테크 관련 동영상 서비스 사이트가 해킹 공격을 당해 데이터베이스(DB) 내 10만7518명의 개인정보가 유출됐다.

조사 결과, 월급쟁이부자들은 중간서버를 통해서만 DB에 접속할 수 있게 시스템을 운영하면서 방화벽 등이 없어 중간서버에 접속할 수 있는 인터넷주소(IP)를 제한하지 않았다.

또, 월급쟁이부자들은 외부에서 DB에 접속할 때 추가적인 인증수단 없이 아이디와 비밀번호로 접속이 가능했는데, 이때 DB 관리자 계정의 비밀번호조차 설정하지 않은 사실도 확인됐다.

박차컴퍼니의 경우 해커의 에스큐엘(SQL) 삽입 공격을 받아 회원 4004명의 개인정보가 유출됐다. 유출된 정보에는 회원의 장애등급 등 민감정보도 포함된 것으로 확인됐다.

개인정보위에 따르면 박차컴퍼니는 자체 플랫폼과 관련 외부의 불법적인 접근을 방지하기 위한 방화벽 등의 보안장비를 설치·운영하지 않았으며, SQL 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않아 개인정보가 유출됐다.

아울러 박차컴퍼니는 보유 기간이 지난 개인정보를 파기하지 않았으며 개인 소유의 계좌번호를 암호화하지 않고 저장했다. 개인정보 유출 통지를 지연한 사실도 확인됐다. 이에 개인정보위는 박차컴퍼니를 상대로 과징금 959만 원과 과태료 810만 원 부과 조치를 의결했다.

개인정보위 관계자는 “개인정보를 처리하는 사업자는 유출 사고가 발생하지 않도록 안전조치와 관련된 의무 사항을 상시 점검해야 한다”며 “불필요한 개인정보는 즉시 파기하고 특히 민감정보 등은 처리 과정에서 각별한 주의가 필요하다”고 당부했다.