개정 보호법 시행 이후, 수탁자의 법 위반행위에 과징금 등 부과 가능해져 각별한 주의 당부
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 11월 22일 제19회 전체회의를 열고, 개인정보보호 법규를 위반한 2개 사업자(엠비아이솔루션, 다배송)에 대해 시정조치 명령을 의결했다.
[로고=개인정보위]
‘엠비아이솔루션’은 2만여 고객사에 웹 기반으로 상담용 채팅 솔루션(해피톡)을 제공하는 사업자다. 해커가 관리자 계정으로 서버에 접속해 이름·전자우편·주문내역 등이 포함된 고객사의 상담내역 8만 7,270건이 유출됐다. 조사 결과, 엠비아이솔루션은 데이터베이스(DB)에 접속할 수 있는 관리자 계정의 비밀번호를 형상관리 서버에 암호화하지 않은 채 저장했다. 이때 형상관리 서버는 소프트웨어 개발을 위한 전체 과정에서 발생하는 모든 항목의 변경 사항을 관리하기 위한 개발환경을 의미한다. 이후, 개인정보처리시스템에 대한 접근통제, 접속기록 관리 등 개인정보 안전성 확보에 필요한 조치를 소홀히 한 사실이 확인됐다.
‘다배송’은 유럽 등에 소재한 50여 개 고객사의 상품을 한국으로 배송 대행해 주는 업체다. 다배송은 배송정보 관리자 페이지에 대한 로그인 검증 절차를 누락했다. 누구나 해당 페이지에서 배송자의 개인정보(이름·주소·전화번호·개인통관부호 등)를 조회할 수 있도록 소홀히 운영해 700건의 배송정보가 유출된 사실을 확인했다.
아울러 2개 사업자 모두 개인정보가 유출된 이용자를 대상으로 개인정보가 유출된 사실을 통지하지 않았다.
이에 따라 개인정보위는 2개 사업자 모두에게 다수 위탁사의 개인정보 처리를 대행하는 대형 수탁자로서 개인정보보호 관련 책임의식을 갖고 ‘개인정보 보호법’에서 규정하고 있는 ‘안전조치 의무’와 ‘유출통지 의무’를 지킬 것과 재발방지대책을 수립·이행할 것 등을 내용으로 하는 시정조치 명령을 의결했다.
이번에 처분한 2개 사업자는 수탁자로서, 21만 일반 개인정보처리자와 같이 ‘(구)개인정보 보호법(법률 제16930호, 2020. 2. 4 일부개정, 2020. 8. 5 시행)’상 개인정보 처리에 관한 의무조항이 준용되어 시정조치 명령을 의결했다. 그러나, 최근 개정된 ‘개인정보 보호법’에서는 변화된 환경에 맞춰 수탁자에 대해서도 위반행위에 대한 처분을 규정하고 있다. 현 보호법 시행일 이후 발생하는 수탁자의 위반행위는 과징금·과태료 등의 제재 대상이 되므로 더욱 각별한 주의가 요구된다.
특히, 다수의 위탁자로부터 개인정보 처리를 위탁받은 대형 수탁자는 처리하는 개인정보의 규모가 크기 때문에, 강화된 개인정보보호 책임의식을 가지고 안전조치 의무를 다할 수 있도록 상시 점검해야 할 필요가 크다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 11월 22일 제19회 전체회의를 열고, 개인정보보호 법규를 위반한 2개 사업자(엠비아이솔루션, 다배송)에 대해 시정조치 명령을 의결했다.
[로고=개인정보위]
‘엠비아이솔루션’은 2만여 고객사에 웹 기반으로 상담용 채팅 솔루션(해피톡)을 제공하는 사업자다. 해커가 관리자 계정으로 서버에 접속해 이름·전자우편·주문내역 등이 포함된 고객사의 상담내역 8만 7,270건이 유출됐다. 조사 결과, 엠비아이솔루션은 데이터베이스(DB)에 접속할 수 있는 관리자 계정의 비밀번호를 형상관리 서버에 암호화하지 않은 채 저장했다. 이때 형상관리 서버는 소프트웨어 개발을 위한 전체 과정에서 발생하는 모든 항목의 변경 사항을 관리하기 위한 개발환경을 의미한다. 이후, 개인정보처리시스템에 대한 접근통제, 접속기록 관리 등 개인정보 안전성 확보에 필요한 조치를 소홀히 한 사실이 확인됐다.
‘다배송’은 유럽 등에 소재한 50여 개 고객사의 상품을 한국으로 배송 대행해 주는 업체다. 다배송은 배송정보 관리자 페이지에 대한 로그인 검증 절차를 누락했다. 누구나 해당 페이지에서 배송자의 개인정보(이름·주소·전화번호·개인통관부호 등)를 조회할 수 있도록 소홀히 운영해 700건의 배송정보가 유출된 사실을 확인했다.
아울러 2개 사업자 모두 개인정보가 유출된 이용자를 대상으로 개인정보가 유출된 사실을 통지하지 않았다.
이에 따라 개인정보위는 2개 사업자 모두에게 다수 위탁사의 개인정보 처리를 대행하는 대형 수탁자로서 개인정보보호 관련 책임의식을 갖고 ‘개인정보 보호법’에서 규정하고 있는 ‘안전조치 의무’와 ‘유출통지 의무’를 지킬 것과 재발방지대책을 수립·이행할 것 등을 내용으로 하는 시정조치 명령을 의결했다.
이번에 처분한 2개 사업자는 수탁자로서, 21만 일반 개인정보처리자와 같이 ‘(구)개인정보 보호법(법률 제16930호, 2020. 2. 4 일부개정, 2020. 8. 5 시행)’상 개인정보 처리에 관한 의무조항이 준용되어 시정조치 명령을 의결했다. 그러나, 최근 개정된 ‘개인정보 보호법’에서는 변화된 환경에 맞춰 수탁자에 대해서도 위반행위에 대한 처분을 규정하고 있다. 현 보호법 시행일 이후 발생하는 수탁자의 위반행위는 과징금·과태료 등의 제재 대상이 되므로 더욱 각별한 주의가 요구된다.
특히, 다수의 위탁자로부터 개인정보 처리를 위탁받은 대형 수탁자는 처리하는 개인정보의 규모가 크기 때문에, 강화된 개인정보보호 책임의식을 가지고 안전조치 의무를 다할 수 있도록 상시 점검해야 할 필요가 크다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
