안전조치의무 소홀 및 수탁자 관리감독 미흡에 과징금·과태료 약 5억5000만원 부과
개인정보위, 상조 분야 전반 사전실태점검 병행 중

[보안뉴스 한세희 기자] 개인정보 관리를 소홀히 해 데이터 유출 사고를 겪은 보람상조가 5억4250만원의 과징금을 물게 됐다.

개인정보보호위원회는 개인정보 보호법을 위반한 보람상조개발 등 보람상조 7개 사업자에 과징금 5억4250만원과 과태료 1140만원을 부과했다고 14일 밝혔다.



보람상조는 지난해 5월 개인정보 유출 신고를 한 바 있다.

조사 결과, 보람상조개발은 홈페이지에서 수집된 고객 개인정보를 통합 관리하는 데이터베이스(DB)를 허술하게 운영한 것으로 나타났다. 보람상조리더스 등 보람그룹 6개 계열사에서 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하며 고객 DB를 운영했으나, 접근제어 등 안전 확보 조치는 소홀했다.

또 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발의 정보 관리를 감독할 의무가 있으나 이를 제대로 이행하지 않았다.

해커는 홈페이지 취약점을 악용한 SQL 주입 공격으로 DB에 침입해 이름과 휴대폰 번호, 이메일 등 고객 개인정보를 탈취한 것으로 확인됐다. SQL 주입은 웹 애플리케이션의 보안 취약점을 이용해 악의적 SQL 구문을 입력해 DB를 조작하거나 정보를 탈취하는 해킹 기법이다.

유출 사실 인지 후 법정 기간을 넘겨 개인정보가 유출된 고객에게 알렸고, 보유 기간이 지난 개인정보를 파기하지 않고 보관한 사실도 확인됐다.

계열사 등 다수 기업이 관련되는 복잡한 환경에서 개인정보 처리가 불투명하게 운영될 경우 발생할 수 있는 보안 사각지대를 경고했다는 데 의의가 있다고 개인정보위는 밝혔다. 개인정보위는 현재 상조 분야 전반에 대해 개인정보 처리 실태 점검과 관행 개선을 위한 사전 실태점검을 실시 중이다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>