개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 8월 28일 제14회 전체회의에서 개인정보 보호법을 위반한 한화호텔앤드리조트㈜, ㈜띵스플로우, 현대자동차㈜ 등 3개 기업에 총 2억 1,592만 원의 과징금과 1,560만 원의 과태료를 부과하기로 의결했다고 밝혔다. 개인정보위는 이들 기업이 개인정보 보호법에서 규정한 안전조치 의무, 동의 의무, 개인정보 유출 신고 및 통지 의무 등을 위반했다고 판단했다.
◆한화호텔앤드리조트㈜: 1억 8,531만 원 과징금 부과
한화호텔앤드리조트㈜는 온라인 회원이 쿠폰을 사용해 숙박 예약을 할 수 있는 이벤트를 위해 예약 절차를 변경하면서 개인정보 보호에 소홀했던 것으로 드러났다. 시스템 개발 과정에서 발생한 과실과 사전 검증의 미비로 인해 회원이 쿠폰을 사용해 예약을 시도할 때, 타인의 예약 정보가 최대 1,818건까지 노출되는 오류가 발생했다.
개인정보위는 이 사건이 로그인 절차 변경 시 타인의 개인정보 조회 가능성을 충분히 검토하지 않은 안전조치 의무 위반이라고 판단했다. 이에 따라 한화호텔앤드리조트㈜에는 1억 8,531만 원의 과징금과 300만 원의 과태료가 부과됐다.
◆㈜띵스플로우: 법정대리인 동의 없는 아동 개인정보 수집
㈜띵스플로우는 합병된 ㈜비트윈어스의 커플 대상 사회관계망(SNS) 서비스 '비트윈' 운영 과정에서 만 14세 미만 아동 38,633명의 개인정보를 법정대리인의 동의 없이 수집한 것으로 밝혀졌다. 또한, 개인정보처리자가 시스템에 접속한 기록을 보존 및 관리하지 않았으며, 개인정보 열람 요구에 대해 법정 기간인 10일 내에 응답하지 않은 사실도 확인됐다.
이에 대해 개인정보위는 ㈜띵스플로우에 2,732만 원의 과징금과 360만 원의 과태료를 부과하고, 14세 미만 아동의 개인정보를 법정대리인의 동의 없이 무분별하게 수집한 점을 중대한 위반 행위로 간주해 시정명령과 처분 결과를 홈페이지에 공표하도록 명령했다.
◆현대자동차㈜: 개인정보 수집 동의 강요 및 보안 패치 미적용
현대자동차㈜는 신차 시승 이벤트를 진행하면서 마케팅 활용 등의 목적으로 개인정보 수집에 동의하지 않은 고객에게 시승 서비스를 제공하지 않는 등 부당한 행위를 한 것으로 확인됐다. 또한, 고객지원 앱인 "마이현대" 운영에 사용된 상용 소프트웨어의 보안 패치를 제때 적용하지 않아 타인의 개인정보가 이용자에게 노출되는 사고가 발생했으며, 이와 관련된 신고 및 통지도 지연된 사실이 드러났다.
개인정보위는 이에 대해 329만 원의 과징금과 900만 원의 과태료를 부과하고, 이 처분 결과를 개인정보위 홈페이지에 공표하도록 조치했다.
개인정보위는 개인정보를 수집·처리하는 모든 사업자에게 개인정보 처리 시스템(홈페이지 등 포함)의 운영 환경과 취약점을 주기적으로 점검·개선할 것을 당부했다. 또한, 만 14세 미만 아동의 개인정보를 수집할 때는 반드시 법정대리인의 동의를 받아야 하며, 마케팅 활용 등 홍보 목적으로 개인정보 수집·이용에 동의하지 않았다는 이유로 재화나 서비스 제공을 거부해서는 안 된다고 강조했다.
[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)
▶주최: 데일리시큐
▶후원: 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회
▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)
▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시
▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비
▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명
▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)
▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.
▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급
▶사전등록: 9월 8일 오후 5시 마감
▶사전등록링크:클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★