개인정보보호위원회(위원장 고학수)가 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 1억1242만 원의 과징금과 1440만 원의 과태료를 부과했다. 이들 기업은 개인정보 유출 사고와 보안조치 미흡 등이 드러나 시정명령과 공표 조치까지 함께 받았다.
지난 11일 개인정보위는 제13회 전체회의를 열고 머크㈜, ㈜온플랫, ㈜디알플러스 등 3개 업체에 대해 이 같은 제재를 의결했다. 개인정보위는 이들 업체가 신규 서비스 출시 전 보안 점검을 소홀히 하거나, 해킹에 취약한 구조로 개인정보 유출을 초래했다고 판단했다.
◇ 머크, 서비스 오류로 개인정보 노출…과징금 8000만원
머크㈜는 의약품 투약기록 관리 기능을 갖춘 신규 서비스를 출시하며 시스템 오류를 방치해, 최대 108명의 개인정보가 유출됐다. 특히 보안 점검을 거치지 않아 접속한 사용자들이 다른 이용자의 정보를 열람하는 사태가 벌어졌다. 유출을 인지한 후 24시간 이내 통지 의무도 지키지 않아 과징금 8000만 원과 과태료 600만 원이 부과됐다.
◇ 디알플러스·온플랫, 같은 해킹에 당해…기초 보안조치 미이행
온라인 결제대행사 ㈜온플랫과 중고차 매매 플랫폼 ㈜디알플러스는 동일한 SQL 삽입 공격을 받으며 각각 최소 80명, 98명의 개인정보가 유출됐다. 두 회사는 아이디·비밀번호 외에 추가 인증수단을 도입하지 않았고, 접속기록도 남기지 않았다. 특히 디알플러스는 주민등록번호와 계좌번호를 암호화하지 않고 저장했으며, 유출 신고도 지연했다.
개인정보위는 디알플러스에 과징금 3242만 원, 과태료 840만 원을 부과했고, 온플랫에는 시정명령 조치를 내렸다. 두 회사 모두 처분 내용을 위원회 홈페이지에 공표하도록 했다.
개인정보위는 “사업자들은 신규 서비스 출시 전 보안취약점 점검을 철저히 하고, 널리 알려진 웹 취약점 공격에도 철저히 대비해야 한다”며 “SQL 삽입 공격 같은 기초적인 해킹기법에도 무방비로 노출되지 않도록 지속적인 보안조치가 필요하다”고 강조했다.
