개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 6월 14일 위원회 전체회의에서 안전조치의무를 소홀히 하여 개인정보가 유출되었거나, 개인정보 유출신고·통지를 위반한 사업자 등 5개 사업자에게 총 4억 2,615만 원의 과징금과 3,620만 원의 과태료를 부과하기로 결정하였다.

과징금 부과 기업은 ㈜드림어스컴퍼니 3억7,895만 원, ㈜고시아카데미 4,720만 원 등이며 과태료는 ㈜드림어스컴퍼니 600만 원, ㈜고시아카데미 1,080만 원, ㈜무신사 1,080만 원, 빌박닷컴(주) 660만 원, ㈜리니칼코리아 200만 원 등이다. 

구체적인 위반내용을 살펴보면, ㈜드림어스컴퍼니는 시스템 작업 중 설정 오류로 인해 신규 가입회원의 정보와 소셜 로그인으로 신규 접속하는 회원 정보가 테스트용 데이터베이스(DB)에 저장되면서 이용자(회원)가 로그인 시 다른 이용자로 로그인되는 상황이 발생하였고, 이로 인해 다른 이용자의 개인정보가 보이면서 보호법 위반사항이 확인되었다.

㈜고시아카데미는 관리자 인증 절차를 누락한 채 시스템을 운영함으로써 이름 등으로 회원을 검색하는 페이지에 누구나 접근이 가능하였고, 이에 따라 구글 검색엔진에서 회원의 정보가 검색되는 등 유출 사실이 확인되었다.

㈜무신사는 이용자 편의를 위해 모바일 환경(모바일 웹, 앱)에서 배송지 변경 기능을 이용하기 쉽게 개선하면서, 비회원에게도 ‘지난 배송지 목록’ 이 자동으로 보여지도록 잘못 설정함에 따라 비회원이 주문결제 후 배송지 변경 시, 다른 회원의 배송지 정보가 열람되는 위반사항이 확인되었다.

빌박닷컴㈜은 부동산 정보를 제공하는 누리집의 관리자페이지 접근제한 등을 소홀히 하여 해커의 공격에 의해 개인정보가 유출되었으며, 해당 정보주체에게 유출 통지도 하지 않은 사실이 확인되었다.

㈜드림어스컴퍼니, ㈜고시아카데미, ㈜무신사 이들 3개 사업자는 또한 유출 사실을 인지하고도 정당한 사유 없이 24시간 경과 후에 이용자에게 유출 사실을 신고하거나 통지하여 개인정보 보호법을 위반하였다.

㈜리니칼코리아의 경우 개인정보가 포함된 백업파일 보관업무를 위탁하면서 개인정보 처리 위·수탁 계약을 문서로서 체결하지 않았고, 정보주체에게 위탁업무 내용과 수탁자를 공개하지 않은 사실이 확인되어 역시 과태료 처분을 받았다.

남석 개인정보위 조사조정국장은 “시스템 관리·운영 소홀 등 내부적인 부주의로 인해 최근 개인정보가 유출되는 사고가 빈번하게 발생하고 있다.”라며 “개인정보를 처리하는 사업자는 개인정보 유출 사고가 일어나지 않도록 안전조치와 관련된 의무사항이 제대로 적용되었는지 상시 점검하고, 유출 사고가 일어나면 2차 피해를 방지할 수 있도록 유출신고와 유출 통지 등을 성실하게 이행하여야 하며, 개인정보처리자가 개인정보 처리업무를 위탁하는 경우에는 위탁업무의 목적 및 범위 등 관련 법령에 따라 문서에 의하여 계약을 체결하고 정보주체가 이를 쉽게 확인할 수 있도록 하여야 한다.”라고 당부하였다. 

★대한민국 시큐리티 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★