개인정보 관리 허술…해커공격 등으로 유출 확인돼
개인정보 보호 조치를 소홀히 해 이용자들의 개인정보를 유출한 사업자 3곳이 과태료 제재를 받았다.
개인정보보호위원회는 26일 정부서울청사에서 제2회 전체회의를 열어 개인정보보호 법규를 위반한 3개 사업자를 대상으로 과태료 총 2680만원을 부과하고 시정명령 처분을 심의·의결했다고 밝혔다. 이번에 제재를 받은 업체는 플라이팝콘(해외 구매대행), 피씨유(쇼핑몰), 알럽스킨(쇼핑몰)이다. 업체별 과태료 부과액은 플라이팝콘 1000만원, 피씨유 600만원, 알럽스킨 1080만원이다.
개인정보위는 이들이 개인정보의 기술적·관리적 보호조치를 다하지 않아 유출 사고가 일어났다고 설명했다. 이들 사업자는 관리자 페이지 접속 시 안전한 인증 수단을 적용하지 않았고, 홈페이지 취약점 점검을 하지 않았다. 또 개인정보처리시스템에 대한 접근 통제를 하지 않아 해커 공격 및 검색엔진 표출 등으로 개인정보를 유출한 것으로 드러났다.
이와 함께 플라이팝콘의 경우, 개인정보 유출을 인지했음에도 24시간 이내에 유출신고 및 이용자 대상 유출통지를 하지 않은 점이 확인됐다. 알럽스킨은 이용자의 비밀번호와 주민등록번호를 안전하게 암호화해 보관하지 않았으며 보관기간이 경과한 개인정보를 즉시 파기하지 않은 점 등이 추가 확인됐다.
한편 플라이팝콘과 피씨유가 웹호스팅을 이용한 것으로 확인됨에 따라, 개인정보위는 다음 달 안으로 웹호스팅 및 클라우드 사업자와 서비스 이용고객이 효과적으로 개인정보를 보호할 수 있는 방안을 협의하겠다고 밝혔다.
개인정보위는 온라인 쇼핑몰 등 소규모 정보통신서비스 사업자들이 최소한의 기술적·관리적 보호조치에 대해 잘 모르거나 관련 조치를 소홀히 해 개인정보 유출을 초래하는 사례가 상당히 많다고 설명했다. 이에 따라 개인정보보호 포털에서 제공하는 자가진단 도구와 상담, 기술지원 서비스 등을 적극적으로 활용해 개인정보 보호조치에 이상이 없는지 확인하고 보완할 것을 당부했다.
