안녕하십니까? 조사1과장 원세연입니다.

제17회 개인정보보호위원회에서 의결한 페이팔의 개인정보보호법규 위반에 대한 처분 내용을 말씀드리겠습니다.

위원회는 지난 2021년 12월 온라인 간편결제 서비스를 제공하고 있는 싱가포르 소재의 페이팔이 해커의 송금 기능 악용 및 내부 직원 이메일에 대한 피싱 공격으로 인해 한국 이용자의 개인정보가 유출되었다고 신고해옴에 따라 조사를 착수하였고, 2023년 1월 아이디와 비밀번호를 무작위로 대입하는 크리덴셜 스터핑 공격으로 개인정보가 유출되었다고 페이팔은 추가 신고하여 총 3건의 개인정보 유출 사고를 함께 조사하였습니다.

조사 결과, 페이팔이 개인정보보호법을 위반하여 안전조치 의무를 소홀히 하고, 유출 통지 및 신고를 지연한 사실을 확인하였습니다.

먼저, 송금 기능 악용으로 2만 2,067명의 이름, 국가코드, 프로필 사진이 유출되었고, 크리덴셜 스터핑 공격으로 인해 336명의 이름, 생년월일, 주소, 핸드폰 번호가 유출되었습니다.

이와 관련하여 해커가 특정 IP에서 반복적으로 접근해 개인정보를 유출하였음에도 페이팔은 이를 탐지하고 차단하지 못하는 등의 개인정보시스템의 처리시스템에 대한 침입 차단 및 침입탐지시스템 운영, 설치 운영을 소홀히 한 것을 확인하였습니다.

아울러, 총 3건의 개인정보 유출과 관련하여 이용자 통지 및 신고를 지연한 사실도 함께 확인하였습니다.

페이팔은 위원회 조사 과정에서 개인정보 유출 방지를 위한 다양한 보호 조치를 설명하면서 다수의 정보보호 관련 인증 취득, 정보보호 관련 국제 보안 표준 마련에 기여하는 등 개인정보보호를 위한 꾸준한 노력을 펼쳤다고 소명하였습니다.

그러나 위원회는 페이팔이 전 세계에 서비스를 제공하는 글로벌 기업으로 다른 기업에 비해 안전조치를 강화할 필요가 있고, 해커의 송금 기능 악용 및 크리덴셜 스터핑 공격과 관련한 페이팔 측의 조치사항 등을 종합적으로 고려하였을 때 사회통념상 합리적으로 기대 가능한 정도의 보호 조치를 충분히 했다고 보기 어렵다고 판단하였습니다.

우리 위원회는 페이팔의 이런 위법행위에 대해 9억 600만 원의 과징금과 1,620만 원의 과태료를 부과하였습니다.

이번 조치는 국외에 존재하는 글로벌 사업자에 대해 우리 보호법상 안전조치 의무를 적용하여 위반행위에 대해 처분한 건으로, 해외 사업자가 국외에서 한국인 이용자의 개인정보를 처리하는 경우라도 우리 보호법에 맞는 충분한 조치를 다할 필요가 있다는 것을 다시 한번 환기시키는 계기가 되기를 기대합니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> (사회자) 연합뉴스의 기자님께서 질문 주셨습니다. 자동차 공임나라의 유출 건수가 페이팔보다 30배 이상 많은데 과징금이 훨씬 적은 이유가 무엇인지 궁금합니다. 또 페이팔에 대한 과징금 과태료가 부과되는 법인이 미국 본사인지, 싱가포르인지, 한국인지에 대해서도 궁금합니다. 아울러, 글로벌 기업 과징금 부과 대상의 선정기준에 대해서도 말씀 부탁드립니다. 이상 질문이었습니다.

<답변> 먼저, 유출 규모가 큰 공임나라에 비해 페이팔의 과징금 차이가 큰 이유는 법상 과징금은 위반행위와 관련된 사업자의 직전 3개년도의 평균 매출액의 100분의 3 이하에 해당하는 금액으로 부과하게 되어 있습니다. 따라서 페이팔의 과징금이 큰 이유는 페이팔의 유출행위와 관련된 매출액 기준으로 하기 때문입니다.

그리고 페이팔은, 두 번째 질문에 대해서 페이팔은 싱가포르 소재 법인이 한국 이용자에게 서비스를 제공하면서 개인정보를 처리하기 때문에 저희가 싱가포르 소재 PayPal Pte. Ltd에다가 처분을 한 상황입니다.

그리고 마지막 질문은 해외 사업자를 대상으로 어떤 기준을 통해 개인정보보호법을 적용하는 질문을, 판단하는지에 대한 질문으로 이해됩니다. 저희는 페이팔 같은 경우에는 한국 이용자와 직접적으로 이용자 관계를 형성하는 한국 법인은 없지만 한국인을 위한 별도의 도메인을 사용하고 한국어로 서비스를 제공하고 또한 한국 사용자를 위한 추가 정보를 처리할 개인정보처리방침에 기재하는 등의 상황을 고려 시 한국을 대상으로 하는 서비스를 제공하고 있는 것이 명확하고, 한국 이용자가 존재하고... 또 한국 이용자가 82만 명 가까이 존재하므로 보호법 적용 대상에 해당됐다고 판단하였습니다.

<답변> (사회자) 더 이상 질문이 없으시면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사드립니다.

<끝>