개인정보위, 안전조치 의무 위반한 3개 사업자 제재

[시사뉴스피플=한장선 기자] 개인정보보호위원회(위원장 고학수)는 11일 제13회 전체회의를 열고 개인정보 보호법을 위반한 3개 사업자에 대해 총 1억 1,242만 원의 과징금과 1,440만 원의 과태료를 부과하고, 시정명령과 결과 공표를 의결했다.

이번에 제재를 받은 사업자는 머크㈜, ㈜온플랫, ㈜디알플러스 등 3곳이다.

머크㈜는 의약품 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시하는 과정에서 시스템 오류로 최대 108명의 개인정보가 유출됐다. 개인정보위 조사 결과, 머크㈜는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 했고, 이로 인해 동일 이용자로 처리된 접속 시스템에서 먼저 입력된 개인정보가 이후 접속한 다른 이용자에게 노출되는 사고가 발생한 것으로 나타났다. 또한 개인정보 유출을 인지한 후 법정 통지기한인 24시간을 넘겨 신고한 사실도 드러났다.

이에 따라 개인정보위는 머크㈜에 과징금 8,000만 원과 과태료 600만 원을 부과하고, 관련 사실을 개인정보위 홈페이지에 공표하기로 결정했다.

㈜온플랫과 ㈜디알플러스는 해킹 공격의 일종인 SQL 삽입 공격으로 최소 80명, 98명의 개인정보가 각각 유출됐다. 조사 과정에서 두 회사 모두 개인정보처리시스템의 입력값 검증 절차를 미비하게 운영했고, 외부 접속 시 안전한 인증수단을 적용하지 않았으며, 접속기록 보관 의무도 이행하지 않은 것으로 드러났다.

특히 ㈜디알플러스는 주민등록번호와 계좌번호를 암호화하지 않은 채 저장했으며, 개인정보 유출 신고와 통지를 지연한 사실도 확인됐다.

이에 따라 개인정보위는 ㈜디알플러스에 과징금 3,242만 원과 과태료 840만 원을 부과하고, ㈜온플랫에는 시정명령과 함께 공표 조치를 결정했다.

개인정보위는 “개인정보를 처리하는 사업자는 신규 서비스 출시 전 보안 취약점 점검을 철저히 하고, SQL 삽입 공격 등 널리 알려진 웹 취약점 공격에 대비해 적절한 보안조치를 지속적으로 시행해야 한다”고 당부했다.