안전조치 의무 위반, 유출 통지·신고 특례 위반 등 해킹으로 개인정보 유출 책임
[보안뉴스 김경애 기자] 참좋은여행, 루안코리아 및 디에이치인터내셔널 3개 기업이 개인정보보호 법규 위반으로 총 3억 3,907만원의 과징금과 1,800만원의 과태료를 부과 받았다.
[이미지=gettyimagesbank.com]
13일 제5회 전체회의를 연 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 “이들 3개 업체는 모두 침입탐지 시스템을 운영하지 않거나 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리 시스템 접속 시 2차 인증 등 안전한 인증수단을 적용하지 않았고, 아이디와 비밀번호로만 접속 가능하게 운영하다가 해킹으로 개인정보 유출에까지 이르게 한 책임이 있다”고 밝혔다.
[자료=개인정보보호위원회]
①참좋은여행은 해커가 탈취한 내부 직원의 계정정보로 사내 시스템인 여행 주문관리 시스템에 접속해 이용자의 개인정보가 유출됐다. 이를 통해 스팸메일이 발송되는 등 피해도 발생했다. 해당 사업자는 외부에서 개인정보처리 시스템에 접속 시 안전한 인증수단을 적용하지 않는 등 아이디와 비밀번호만으로 접속이 가능했다. 이에 따라 ‘개인정보 보호법’ 제29조의 안전조치 의무를 제대로 지키지 않은 사실이 확인되어 과징금과 과태료 처분이 부과됐다.
②루안코리아는 정보통신망을 통해 외부에서 데이터베이스에 접속시 아이디와 비밀번호로만 접속할 수 있도록 운영했다. 침입탐지 시스템 미설치로 개인정보 유출 시에 탐지도 하지 못했다. 비밀번호, 주민등록번호, 계좌번호 등을 암호화하지 않고 평문으로 저장하는 등 ‘개인정보 보호법’ 제29조의 안전조치 의무를 소홀히해 해킹으로 이용자 개인정보가 탈취되도록 한 사실이 확인되어 과징금과 과태료 부과 처분을 받았다.
③디에이치인터내셔널은 업로드 취약점을 통해 해커가 원격에서 웹서버를 조종할 수 있도록 작성한 웹 스크립트인 웹셸 공격을 통해 해커가 개인정보를 유출하는 사건이 발생했다. 해당 사업자는 웹셸 등 악의적인 파일이 설치되지 않도록 업로드 파일의 확장자 제한, 홈페이지 보안 취약점 점검·개선 등 ‘개인정보 보호법’ 제29조의 안전조치 의무를 제대로 지키지 않아 과징금 및 과태료 처분이 내려졌다.
이에 따라 개인정보 취급자가 정보통신망을 통해 외부에서 개인정보처리 시스템에 접속이 필요한 경우에는 아이디와 비밀번호 외에도 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단 적용이 필요하다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>