네이처리퍼블릭, 고객정보 14만건 해킹…테슬라코리아도 정보 유출

개인정보위, 고객정보 유출 4개 사업자에 과징금·과태료 부과
암호화 등 보호조치 제대로 안 이뤄져…총 6720만원 `철퇴`
`계정 무단 공유` 등 30개 지자체에도 시정조치 권고 처분

등록 2021-01-27 오후 3:16:02

수정 2021-01-27 오후 3:16:02
가 가

윤종인 개인정보보호위원회 위원장이 27일 오전 서울 종로구에 위치한 정부서울청사 4층 대회의실에서 개최된 제2회 전체회의를 주재하고 있다.(사진=개인정보보호위원회 제공)

[이데일리 이후섭 기자] 네이처리퍼블릭과 에스디생명공학(217480)이 해킹 공격을 당해 각각 14만, 1만4000여 건의 고객 정보가 유출됐으며, 테슬라코리아에서는 직원의 실수로 500여 개의 고객 이메일 주소가 유출됐다. 개인정보보호위원회는 개인정보 보호법을 위반한 4개 사업자에 총 6720만원 규모의 과징금, 과태료를 부괘했다.

또 서울 중구·강남구를 비롯해 대전광역시, 강원도, 경상북도 등 개인정보 보호법을 위반한 전국 전국 지방자치단체 30개 기관에도 시정조치 권고 처분을 내렸다.

(자료=개인정보보호위원회 제공)

암호화 등 보호조치 제대로 안 이뤄져…총 6720만원 `철퇴`

개인정보위는 27일 제2회 전체회의를 열고 네이처리퍼블릭, 에스디생명공학, 테슬라코리아, 씨트립코리아 등 4개 사업자에 대한 시정명명을 내리고 2970만원의 과징금과 3300만원의 과태료 부과를 의결했다. 이번 조사는 개인정보 유출 신고가 접수된 3개 사업자와 국민신문고로 민원이 제기된 1개 사업자에 대해 이뤄졌다.

네이처리퍼블릭은 미상의 해커가 `SQL 삽입(악성코드에 감염시킨 후 관리자 권한을 획득하는 방식) 공격` 으로 관리자 페이지에 로그인해 14건의 고객 정보가 유출된 것으로, 과징금 2120만원과 과태료 1000만원 처분을 받았다. 에스디생명공학도 해커로부터 쇼핑몰서비스 웹셸(web shell) 공격을 당해 쇼핑몰 회원정보가 유출돼 850만원의 과징금과 1300만원의 과태료를 부고받았다.

김진해 개인정보위 대변인은 “네이처리퍼블릭은 정보통신망법 제28조 제1항에 따른 개인정보 처리시스템에 대한 접근통제, 암호화 등 개인정보 보호조치를 하지 않아 과징금과 과태료가 부과됐다”고 설명했다.

테슬라코리아의 경우 직원이 전기차 보조금 안내 시 실수로 전체 수신 이메일을 동봉 발신하면서 500여 건의 고객 정보가 유출됐다. 씨트립코리아는 직원이 이용자 A의 항공권 환불처리 과정에서 실수로 회사 이메일 주소가 아닌 다른 이용자 B의 이메일 주소를 안내해 B의 이메일 주소가 유출된 건이다. 테슬라코리아와 씨트립 코리아는 각각 500만원의 과태료 처분을 받았다.

`계정 무단 공유` 등 30개 지자체에도 시정조치 권고 처분

이날 개인정보위는 개인정보 보호법을 위반한 지자체 30개 기관을 대상으로 시정조치 권고 처분을 내리고, 이중 12개 기관에 대해서는 징계권고를 병과했다.

이번 조치는 지난해 8월 5일 개인정보위 출범 이후 공공기관을 대상으로 보호법 위반에 대해 책임을 물어 제재한 첫 사례다. 개인정보위는 지난 2019년 개인정보 관리수준진단 점검 결과 보호수준이 미흡한 지방자치단체 30개 기관을 대상으로 지난해 5월부터 7월까지 현장 실태점검을 실시했다.

실태점검 결과 주요 법위반 사항으로 △개인정보처리 시스템 접속기록 미보관(27개 기관) △개인정보 취급자간 계정 무단 공유(19개 기관) △주민등록번호 암호화 미조치(1개 기관) △업무처리 목적 달성 이후 개인정보 미파기(1개 기관) 등 47건을 적발했다.

김 대변인은 “개인정보를 수집할 때 필수 고지사항을 고지하지 않거나 목적달성 후 미파기 등이 6건 발견됐고, 주민등록번호 평문 보관, 업무 위탁 시 법적 요구사항 미실시 등의 위반행위도 11건 있었다”며 “계정 무단 공유, 접속기록 미보관 등 안전조치를 제대로 지키지 않은 위반행위도 30건 적발됐다”고 설명했다.

개인정보위는 이번 시정조치와 함께 개인정보 관리수준 미흡 기관에 대한 컨설팅과 교육도 병행할 예정이다. 미흡 기관 개인정보보호 담당자와 취급자를 대상으로 개인정보의 안전조치 등에 대한 컨설팅과 역할별·수준별 교육을 주기적으로 진행해 개인정보보호 역량을 강화할 계획이다.

김 대변인은 “이번에 처분을 받은 30개 지자체 뿐만 아니라 다른 공공기관에 대해서도 컨설팅, 개인정보 보호 관련 교육 등을 실시할 계획을 가지고 있다”며 “구체적인 교육 계획은 지금 준비하고 있다”고 말했다.