2023-02-09 13:55 (목)
SSG·KT 등 개인정보보호법 위반 9개 사업자에 과태료 부과
상태바
SSG·KT 등 개인정보보호법 위반 9개 사업자에 과태료 부과
  • 길민권 기자
  • 승인 2022.12.02 15:49
이 기사를 공유합니다

안전조치, 파기, 유출 신고·통지 등 위반에 대해 총 5,160만 원 과태료 부과
출처. 개인정보보호위원회.
출처. 개인정보보호위원회.

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 11월 30일 제19회 전체회의에서 개인정보보호 법규를 위반한 9개 사업자에 대해 총 5,160만 원의 과태료를 부과하기로 결정했다.

개인정보위는 유출 신고, 언론보도 등으로 위원회에 접수된 9개 사업자(10건)에 대해 조사한 결과, 다음과 같은 위반사항에 대해 시정조치하였다.

신원미상의 자가 에스큐엘 주입(SQL Injection) 공격으로 ㈜피알컴퍼니가 운영하는 문자발송 서비스의 이용자 계정정보(48명)를 탈취한 후 대량의 스팸문자를 발송했다.

개인정보위는 ㈜피알컴퍼니가 침입차단·탐지시스템 설치·운영, 비밀번호 암호화, 접속기록 보관 등의 안전조치의무와 유출 통지·신고의무를 위반했다고 판단하였다.

㈜에스에스지닷컴(SSG.COM)은 잘못 부착한 택배 송장을 제거하지 않고 새로운 송장을 덧붙여 발송하여 이를 수령한 고객이 타인의 개인정보(1명)를 열람하였는데, 개인정보위는 잘못 부착한 택배 송장을 파기하지 않고 다른 수취인의 개인정보가 노출되게 한 행위에 대해 파기 의무 위반으로 처분하였다.

㈜네오게임즈와 ㈜리치몬트코리아는 소소코드 설정 오류 등 관리자의 보안조치 소홀로 각각 36명과 1명의 개인정보가 유출되었고, 특히, ㈜리치몬트코리아는 유출 사실을 안 때부터 24시간을 경과하여 유출 신고와 이용자 통지를 하였다.

㈜케이티(KT)는 테스트 계정으로 로그인한 상태의 인터넷 주소(URL)를 담당자 실수로 고객들에게 발송하여 개인정보(1명)가 유출되었는데, 개인정보위는 ㈜케이티가 안전조치의무를 위반하였다고 판단하였다.

㈜난다는 개인정보가 기재되어 있는 페이지의 읽기 권한을 ‘관리자’가 아닌 ‘비회원 이상’으로 설정하는 등 안전조치의무 소홀로 개인정보(30명)가 유출되었으며, 24시간을 경과하여 유출 통지·신고를 하였다.

㈜데이원컴퍼니는 배송정보가 포함된 엑셀 파일을 잘못 편집하여 개인정보(82명)가 타인에게 전달되었으며, 개인정보위는 유출 통지가 지연된 사실을 확인하였다.

쿠팡㈜에 대해서는 2건이 접수되었는데, 쿠팡은 쿠팡 앱을 업데이트하는 과정에서 안전조치의무를 소홀히 하여 개인정보(14명)가 유출되었다.

또한, 쿠팡은 쿠팡이츠 스토어에 회원가입이 완료되지 않았거나, 서비스 이용 중지를 요청한 음식점주의 개인정보를 파기하지 않고 문자메시지를 발송했다.

그레잇모바일은 개인정보 처리에 대해 동의를 받을 때 각각의 동의사항을 구분하지 않고 개인정보 수집 목적 등을 명확히 알리지 않았다.

진성철 개인정보위 조사2과장은 “최근 해커가 대량의 스팸문자 발송을 위해 문자발송 서비스를 제공하는 웹사이트를 공격하는 사례가 종종 발생하고 있다”라며 “해커의 표적이 될 수 있는 문자발송 서비스를 운영하는 사업자는 사고 예방을 위해 상시적인 웹사이트 취약점 점검, 이용자 로그인 시 추가인증수단 도입 등 적극적 보호조치를 취할 필요가 있다”고 말했다.

★정보보안 대표 미디어 데일리시큐!