개인정보위, 개인정보보호 법규 위반 9개 사업자 제재(피알컴퍼니, 에스에스지닷컴, 네오게임즈, 케이티, 리치몬트코리아, 난다, 데이원컴퍼니, 쿠팡, 그레잇모바일

□ 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 11월 30일(수) 제19회 전체회의에서 개인정보보호 법규를 위반한 9개 사업자에 대해 총 5,160만 원의 과태료를 부과하기로 결정하였다.

□ 개인정보위는 유출 신고, 언론보도 등으로 위원회에 접수된 9개 사업자(10건)에 대해 조사한 결과, 다음과 같은 위반사항에 대해 시정조치하였다.

○ 신원미상의 자가 에스큐엘 주입*(SQL Injection) 공격으로 ㈜피알컴퍼니가 운영하는 문자발송 서비스의 이용자 계정정보(48명)를 탈취한 후 대량의 스팸문자를 발송했다.

* Structured Query Language Injection: 데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 빼내는 공격 기법

- 개인정보위는 ㈜피알컴퍼니가 침입차단·탐지시스템 설치·운영, 비밀번호 암호화, 접속기록 보관 등의 안전조치의무와 유출 통지·신고의무를 위반했다고 판단하였다.

○ ㈜에스에스지닷컴은 잘못 부착한 택배 송장을 제거하지 않고 새로운 송장을 덧붙여 발송하여 이를 수령한 고객이 타인의 개인정보(1명)를 열람하였는데,

- 개인정보위는 잘못 부착한 택배 송장을 파기하지 않고 다른 수취인의 개인정보가 노출되게 한 행위에 대해 파기 의무 위반으로 처분하였다.

○ ㈜네오게임즈와 ㈜리치몬트코리아는 소소코드 설정 오류 등 관리자의 보안조치 소홀로 각각 36명과 1명의 개인정보가 유출되었고,

- 특히, ㈜리치몬트코리아는 유출 사실을 안 때부터 24시간을 경과하여 유출 신고와 이용자 통지를 하였다.

○ ㈜케이티는 테스트 계정으로 로그인한 상태의 인터넷 주소(URL)를 담당자 실수로 고객들에게 발송하여 개인정보(1명)가 유출되었는데, 개인정보위는 ㈜케이티가 안전조치의무를 위반하였다고 판단하였다.

○ ㈜난다는 개인정보가 기재되어 있는 페이지의 읽기 권한을 ‘관리자’가 아닌 ‘비회원 이상’으로 설정하는 등 안전조치의무 소홀로 개인정보(30명)가 유출되었으며, 24시간을 경과하여 유출 통지·신고를 하였다.

○ ㈜데이원컴퍼니는 배송정보가 포함된 엑셀 파일을 잘못 편집하여 개인정보(82명)가 타인에게 전달되었으며, 개인정보위는 유출 통지가 지연된 사실을 확인하였다.

○ 쿠팡㈜에 대해서는 2건이 접수되었는데, 쿠팡㈜는 쿠팡 앱을 업데이트하는 과정에서 안전조치의무를 소홀히 하여 개인정보(14명)가 유출되었다.

- 또한, 쿠팡㈜는 쿠팡이츠 스토어에 회원가입이 완료되지 않았거나, 서비스 이용 중지를 요청한 음식점주의 개인정보를 파기하지 않고 문자메시지를 발송했다.

○ 그레잇모바일은 개인정보 처리에 대해 동의를 받을 때 각각의 동의사항을 구분하지 않고 개인정보 수집 목적 등을 명확히 알리지 않았다.

□ 진성철 개인정보위 조사2과장은 “최근 해커가 대량의 스팸문자 발송을 위해 문자발송 서비스를 제공하는 웹사이트를 공격하는 사례가 종종 발생하고 있다.”라며,

○ “해커의 표적이 될 수 있는 문자발송 서비스를 운영하는 사업자는 사고 예방을 위해 상시적인 웹사이트 취약점 점검, 이용자 로그인 시 추가인증수단 도입 등 적극적 보호조치를 취할 필요가 있다.”라고 말했다.