한국사회복지협회 안전조치의무 위반, 테크랩스 개인정보 수집 목적 외 이용 등 보호법 위반
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 제16회 전체회의를 열어, 개인정보보호 법규를 위반한 한국사회복지협의회와 테크랩스에 과징금 부과 등 제재를 9월 25일 의결했다.
[로고=한국사회복집협의회, 테크랩스]
한국사회복지협의회, 과징금 4억 8,300만원 부과 및 징계 권고
2024년 1월 한국사회복지협의회가 운영하는 ‘사회복지 자원봉사 정보관리시스템(VMS)’에서 개인정보 유출사고가 발생했다. 사고는 홈페이지(이하 시스템 홈페이지)의 비밀번호 변경 기능에 있던 취약점을 해커가 이용해 홈페이지 데이터베이스(DB)에 보관된 회원 약 135만명 개인정보를 열람 및 유출했다.
유출된 개인정보는 아이디, 이름, 이메일, 생년월일, 성별, 주소, 연락처, 직업, 학교정보, 학력, 자격면허보유 여부(운전면허, 사회복지사, 간병사 등) 등이며, 유출 건수는 약 1,300만 건에 달한다.
유출사고를 조사한 개인정보위가 확인한 주요 위반사항은 △첫째, 소스코드에 대한 점검 소홀이다. 한국사회복지협의회는 ‘비밀번호’와 같은 주요 데이터를 변경하는 기능을 구현하면서 변경 요청자와 변경 대상자 일치 여부를 확인하지 않았다. 제3자가 비밀번호를 변경할 수 있는 취약점에 대한 소스코드 점검을 소홀히 한 것이다.
△둘째, 안전조치 미흡이다. 해커가 ①아이디(ID) 존재여부 확인 ②패스워드(PW) 일괄 변경 ③개인정보 조회 등을 위해 2024년 1월 6일~7일간 시스템 홈페이지에 2,000만회 이상 접속했으나, 개인정보 유출 시도의 탐지·차단을 못하는 등 안전조치를 하지 못했다. 아울러 한국사회복지협의회는 정보주체가 주민등록번호를 입력해야만 회원가입이 가능하도록 시스템 홈페이지를 운영하면서 회원가입 시 주민등록번호를 대체할 수 있는 수단을 제공하지 않았다.
이에 따라, 개인정보위는 한국사회복지협의회에 대해 개인정보보호법(이하 보호법) 제29조 안전조치의무 위반으로 4억 8,300만원 과징금을 부과했다. 또한 시스템 홈페이지 전반에 걸친 개인정보보호 실태 점검·개선과 개인정보취급자에 대한 개인정보보호 교육의 정기적 실시를 개선 권고했다. 아울러 유출 책임자에 대한 징계를 권고하는 한편, 처분 등을 받은 사실을 2일 이상 5일 미만 기간에 기관 홈페이지 등에 공표하도록 명령했다. 이와 함께 같은 법 제24조의2제3항 주민등록번호 대체수단을 제공하지 않은 행위에 대해 540만 원의 과태료 부과를 결정했다.
개인정보위는 주무부처인 보건복지부에 한국사회복지협의회의 보호법 위반에 대해 처분한 사실을 알렸다. 개인정보보호 수준 향상 및 유출사고 예방을 위해 산하 공공기관에 대한 관리·감독 및 지원을 철저히 해달라고 요청할 계획이다.
테크랩스, 과징금 2억 2,400만원 부과 및 고발
테크랩스는 국내(아만다, 너랑나랑)와 대만(연권) 이용자를 대상으로 3개의 데이팅 앱 서비스를 운영하는 기업이다. 그런데 자사 데이팅 앱 서비스에 가입된 회원의 프로필 사진을 이용해 다른 국가에서 운영하는 자사의 또 다른 데이팅 앱 서비스에서 허위계정을 생성하고 직원을 동원해 활동하게 했다.
개인정보위 조사 결과, 테크랩스는 3개 데이팅 앱 서비스에서 지난 2020년부터 약 1년 동안 총 276개의 허위계정을 생성했다. 이중 일부 계정은 2023년 11월까지 유지돼 정상 회원과 자동 매칭된 사실이 드러났다.
▲허위 계정 생성 과정[이미지=개인정보위]
개인정보위는 이처럼 데이팅 앱에 올린 프로필 사진을 무단으로 이용한 행위는 정보주체가 동의한 개인정보 이용 범위를 벗어난 목적 외 이용이라고 판단했다. 정보주체 권리·이익이나 사생활에 미칠 영향이 상당한 ‘매우 중대한 위반’에 해당한다는 입장이다.
이에 테크랩스에 대해 과징금 2억 2,400만 원을 부과하고 경찰에 테크랩스를 고발했다. 처분 등을 받은 사실을 2일 이상 5일 미만의 기간 동안 홈페이지 등에 공표하도록 명령했다. 또, 허위계정 생성에 프로필 사진이 이용된 회원에게 목적 외로 이용된 사실을 통지할 것을 권고하고 그 결과를 개인정보위에 알리도록 했다.
앞으로도 개인정보위는 “국민의 개인정보를 대규모로 보유·운용하는 공공기관과 기업의 개인정보 관리에 대한 경각심을 높이겠다”며 “사업자가 정보주체로부터 수집 시 동의받은 목적 외로 개인정보를 이용하지 않도록 개인정보 보호법규 위반에 대해 엄정한 처분을 할 계획”이라고 밝혔다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 제16회 전체회의를 열어, 개인정보보호 법규를 위반한 한국사회복지협의회와 테크랩스에 과징금 부과 등 제재를 9월 25일 의결했다.
[로고=한국사회복집협의회, 테크랩스]
한국사회복지협의회, 과징금 4억 8,300만원 부과 및 징계 권고
2024년 1월 한국사회복지협의회가 운영하는 ‘사회복지 자원봉사 정보관리시스템(VMS)’에서 개인정보 유출사고가 발생했다. 사고는 홈페이지(이하 시스템 홈페이지)의 비밀번호 변경 기능에 있던 취약점을 해커가 이용해 홈페이지 데이터베이스(DB)에 보관된 회원 약 135만명 개인정보를 열람 및 유출했다.
유출된 개인정보는 아이디, 이름, 이메일, 생년월일, 성별, 주소, 연락처, 직업, 학교정보, 학력, 자격면허보유 여부(운전면허, 사회복지사, 간병사 등) 등이며, 유출 건수는 약 1,300만 건에 달한다.
유출사고를 조사한 개인정보위가 확인한 주요 위반사항은 △첫째, 소스코드에 대한 점검 소홀이다. 한국사회복지협의회는 ‘비밀번호’와 같은 주요 데이터를 변경하는 기능을 구현하면서 변경 요청자와 변경 대상자 일치 여부를 확인하지 않았다. 제3자가 비밀번호를 변경할 수 있는 취약점에 대한 소스코드 점검을 소홀히 한 것이다.
△둘째, 안전조치 미흡이다. 해커가 ①아이디(ID) 존재여부 확인 ②패스워드(PW) 일괄 변경 ③개인정보 조회 등을 위해 2024년 1월 6일~7일간 시스템 홈페이지에 2,000만회 이상 접속했으나, 개인정보 유출 시도의 탐지·차단을 못하는 등 안전조치를 하지 못했다. 아울러 한국사회복지협의회는 정보주체가 주민등록번호를 입력해야만 회원가입이 가능하도록 시스템 홈페이지를 운영하면서 회원가입 시 주민등록번호를 대체할 수 있는 수단을 제공하지 않았다.
이에 따라, 개인정보위는 한국사회복지협의회에 대해 개인정보보호법(이하 보호법) 제29조 안전조치의무 위반으로 4억 8,300만원 과징금을 부과했다. 또한 시스템 홈페이지 전반에 걸친 개인정보보호 실태 점검·개선과 개인정보취급자에 대한 개인정보보호 교육의 정기적 실시를 개선 권고했다. 아울러 유출 책임자에 대한 징계를 권고하는 한편, 처분 등을 받은 사실을 2일 이상 5일 미만 기간에 기관 홈페이지 등에 공표하도록 명령했다. 이와 함께 같은 법 제24조의2제3항 주민등록번호 대체수단을 제공하지 않은 행위에 대해 540만 원의 과태료 부과를 결정했다.
개인정보위는 주무부처인 보건복지부에 한국사회복지협의회의 보호법 위반에 대해 처분한 사실을 알렸다. 개인정보보호 수준 향상 및 유출사고 예방을 위해 산하 공공기관에 대한 관리·감독 및 지원을 철저히 해달라고 요청할 계획이다.
테크랩스, 과징금 2억 2,400만원 부과 및 고발
테크랩스는 국내(아만다, 너랑나랑)와 대만(연권) 이용자를 대상으로 3개의 데이팅 앱 서비스를 운영하는 기업이다. 그런데 자사 데이팅 앱 서비스에 가입된 회원의 프로필 사진을 이용해 다른 국가에서 운영하는 자사의 또 다른 데이팅 앱 서비스에서 허위계정을 생성하고 직원을 동원해 활동하게 했다.
개인정보위 조사 결과, 테크랩스는 3개 데이팅 앱 서비스에서 지난 2020년부터 약 1년 동안 총 276개의 허위계정을 생성했다. 이중 일부 계정은 2023년 11월까지 유지돼 정상 회원과 자동 매칭된 사실이 드러났다.
▲허위 계정 생성 과정[이미지=개인정보위]
개인정보위는 이처럼 데이팅 앱에 올린 프로필 사진을 무단으로 이용한 행위는 정보주체가 동의한 개인정보 이용 범위를 벗어난 목적 외 이용이라고 판단했다. 정보주체 권리·이익이나 사생활에 미칠 영향이 상당한 ‘매우 중대한 위반’에 해당한다는 입장이다.
이에 테크랩스에 대해 과징금 2억 2,400만 원을 부과하고 경찰에 테크랩스를 고발했다. 처분 등을 받은 사실을 2일 이상 5일 미만의 기간 동안 홈페이지 등에 공표하도록 명령했다. 또, 허위계정 생성에 프로필 사진이 이용된 회원에게 목적 외로 이용된 사실을 통지할 것을 권고하고 그 결과를 개인정보위에 알리도록 했다.
앞으로도 개인정보위는 “국민의 개인정보를 대규모로 보유·운용하는 공공기관과 기업의 개인정보 관리에 대한 경각심을 높이겠다”며 “사업자가 정보주체로부터 수집 시 동의받은 목적 외로 개인정보를 이용하지 않도록 개인정보 보호법규 위반에 대해 엄정한 처분을 할 계획”이라고 밝혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)