개인정보보호위원회는 제3회 전체회의에서 개인정보보호법을 위반한 명품 브랜드 3사의 총 360억 3,300만 원의 과징금과 1,080만 원의 과태료를 부과하고 처분 사실을 공표 명령하였습니다.
이들 3사는 모두 SaaS 기반 고객 관리 서비스를 이용하는 과정에서 개인정보 유출 사고가 발생하였습니다.
먼저, 루이비통은 직원의 기기가 악성 코드에 감염되어 고객관리시스템이 계정 정보를 해커에게 탈취당했고, 약 360만 명의 고객 개인정보가 유출되었습니다.
루이비통은 2013년부터 고객 관리를 위해 해당 SaaS 기반 고객 관리 서비스를 운영하면서 IP 주소 등을 제한하지 않는 등 인가받지 않는 접근을 통제하지 않았고, 외부에서 고객관리시스템에 접속하려는 경우에도 안전한 인증 수단을 적용하지 않았습니다.
이에 위원회는 루이비통에 213억 8,500만 원의 과징금을 부과하고 처분받은 사실을 홈페이지에 공표하도록 명령하였습니다.
다음, 디올은 고객센터의 직원이 해커의 보이스피싱에 속아 고객관리시스템에 대한 접근 권한을 해커에게 부여함에 따라 약 195만 명의 개인정보가 유출되었습니다.
디올은 2020년부터 해당 서비스를 운영하면서 접속 권한을 IP 주소 등으로 제한하지 않았고 대량으로 데이터 다운로드할 수 있는 지원 도구의 사용을 제한하지 않은 바 있습니다. 또한, 접속기록 점검 소홀로 유출 사실을 3개월 이상 확인하지 못하였으며, 정당한 사유 없이 유출 통지를 지연한 바 있습니다.
이에 개인정보위는 디올에 122억 3,600만 원의 과징금, 360만 원의 과태료를 부과하고 공표 명령하였습니다.
마지막으로, 티파니는 디올과 동일한 방법에 의해 약 4,600만 명... 4,600명의 고객 개인정보가 유출되었습니다.
티파니는 2021년부터 마케팅을 위해 해당 서비스를 운영하면서 접근 권한을 IP 주소 등으로 제한하지 않고 대량의 데이터 다운로드 지원 도구의 사용을 제한하지 않았습니다. 또한, 유출 신고 통지를 지연한 바 있습니다.
이에 개인정보위는 티파니에 24억 1,200만 원의 과징금, 720만 원의 과태료를 부과하고 공표 명령하였습니다.
최근 많은 기업이 초기 구축 비용을 절감하고 유지 관리 효율성을 위해 글로벌 대기업의 SaaS 기반 설루션을 도입·운영하고 있습니다.
이 경우에도 개인정보를 안전하게 관리할 책임이 개인정보 처리자인 기업에게 있는 만큼 해당 설루션이 제공하는 접근 권한 통제, 안전한 인증 수단 등 보호법상에 안전 조치 기능을 적용하여 유출 사고를 예방할 것을 당부드립니다.
이상입니다.
[질문·답변] ※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 제가 잘 몰라서 그러는데 각 사고에서 유출된 개인정보 항목이 어떤 게 있는지 혹시 알 수 있을까요?
<답변> 잠시만요. 지금 루이비통의 경우에는 이름, 성별, 국가, 전화번호, 이메일 주소, 생년월일 등이고요. 디올의 경우에도 이름, 성별, 생년월일, 나이, 이메일, 전화번호 등, 그리고 티파니의 경우에도 이름, 주소, 이메일, 내부 고객 기록 번호 등입니다.
<질문> 저기 SaaS 좀 물어보겠습니다. 지금 3건이 조금, 2건은 고객센터 직원이 보이스피싱 당한 거고 1건이 직원들 악성코드가 감염돼서 이렇게 된 거잖아요. 그러면 루이비통 같은 경우는 흔히 얘기, 저희가 얘기하는 해킹인 거고 두 번째 거는 해킹이 아니라 고객센터 직원이 그냥 그 계정 정... 권한 정보를 준 거잖아요. 그러니까 두세 번째, 루이비통 해킹이고 두세 번째는 좀 해킹이 아니라고 볼 수 있는 건지.
<답변> 아니요, 두세 번째도 해킹인데 그 방법이 좀 다르다고 보시면 될 것 같습니다. 그러니까...
<질문> 보이스피싱에 속아서 준 걸 해킹으로 봐야 돼요?
<답변> 네, 보이스피싱에 속아서 일종의 연결할 수... 데이터, 여기서 말씀드린 데이터 다운로드 지원도구와 연결할 수 있는 연결을 승인한 것입니다. 연결할 수 있는 데이터 다운로드 지원 도구라는 앱이 있었고 고객 관리 서비스를 하는 직원이 있었는데 그 직원이 해킹을 당... 보이스피싱을 당해서 거기에 데이터 다운로드라는 앱은 해커가 만들고, 기존에 만들고 이거를 승인하는 번호를 자기 데이터 다운로드 앱에 이 번호를 승인할 수 있도록 연결시킨 것입니다.
<질문> 그러니까 해커가 가짜 뭐 만들어 놓고 계정을 받아서 그걸 했다는...
<답변> 네, 그런데 배포된 정상적인 데이터 다운로드인데 그건 해커가 만든 데이터 다운로드 지원 도구 앱이었고요. 그거를 승인했습니다.
<질문> 그것도 해킹으로 어쨌든 보는 겁니까?
<답변> 네, 해킹의 방식의 차이라고 보시면 될 것 같습니다.
<질문> 보이스피싱에 속은 것도 해킹 맞는 건가요?
<답변> 네, 해킹, 해킹 그룹이 보이스피싱을 한 것도 맞고요.
<질문> 관련해서 하나만 더, 보면 이게 해킹이 어떤 소프트웨어나 클라우드 SaaS 인프라 문제가 아니고 다 개인 어떤 직원들이 잘못 관리해서 개인적인 휴먼 에러로 봐야 되는 거죠?
<답변> 휴먼 에러가 결합된 것이고요. 시작은 휴먼 에러가 결합됐지만 실제 해야 할 안전조치를 했다고 하면 유출은 발생하지 않을 수 있었던 사고입니다.
<질문> ***
<답변> 네, SaaS 소...
<질문> ***
<답변> 네, SaaS 소프트웨어에서도 그의 기능을 제공하고 있고 안내하고 있었으나 그를 알지 못하거나 다른 이유 등으로 해서 적용하지 않았다고 보시면 될 것 같습니다.
개인정보위원회는 최근 음식점, 카페 등에서 IT를 접목해서 원격 예약·대기 및 키오스크 주문 등 대규모 개인정보 처리를 수반하는 서비스가 확산됨에 따라 식음료 분야의 개인정보 실태를 조사하였습니다.
먼저, 종합적인 조사 결과를 말씀드리겠습니다.
대부분의 식음료 사업자들이 대량의 개인정보를 보유기간이 경과하거나 처리 목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리하고 있었던 점을 확인하였습니다.
또한, 앱 등 온라인 서비스 제공 과정에서 개인정보를 동의 없이 홍보 마케팅에 이용하거나 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용한 사례를 확인하였습니다.
또한, 원격 예약·대기 등 서비스를 제공하는 플랫폼 사업자의 경우 앱과 현장에서 수집한 개인정보를 연동하면서 고객의 개인정보가 외부에 노출될 수 있는 취약한 상태로 운영하는 등 다수의 안전조치 의무를 위반한 사실을 확인하였습니다.
식음료 분야 프랜차이즈 사업자의 경우 개인정보 처리업무를 제3자에게 위탁하면서 수탁자에 대한 관리·감독을 소홀히 하거나 100만 명 이상의 정보 주체의 개인정보를 처리하면서 개인정보 수집 이용 제공 내역을 주기적으로 정보 주체에게 통지하지 않는 등의 법위반 사실을 확인하였습니다.
다음은 사업자별 위반 내용 및 처분 결과입니다.
버거킹 서비스를 이용하는... 운영하는 BKR은 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하였고, 메가커피 서비스를 운영하는 MGC글로벌은 회원가입 시 마케팅 활용에 동의하지 않은 회원에게 마케팅 메시지를 수백 회 발송한 사실을 확인하였습니다.
캐치테이블 서비스를 운영하는 와드, 테이블링 서비스를 운영하는 테이블링(주), 도도포인트를 서비스를 운영하는 야놀자F&B솔루션, 맥도날드 서비스를 운영하는 한국맥도날드는 API 설계·운영을 미흡하게 하는 등 접근 통제를 소홀히 한 사실을 확인하였습니다.
아울러, 투썸플레이스는 매장에서 키오스크 주문 시에 픽업 알림을 위한 휴대전화 보호를 입력하지 않으면 주문 결제가 불가능하도록 서비스를 운영하였고, 빽다방 서비스를 운영하는 더본코리아의 경우에는 회원가입 시 마케팅 동의, 맞춤형 서비스 동의 등 별도로 동의받아야 될 사항들을 포괄적으로 동의받은 사실 그리고 수탁자에 대한 관리·감독을 소홀히 한 사실을 확인하였습니다.
이에 대해 개인정보보호위원회는 법정대리인의 동의 없이 만 14세 미만의 아동의 개인정보를 수집·이용한 BKR에 9,200... 9억 2,400만 원의 과징금을 부과하고, 동의 없이 목적 외로 회원의 개인정보를 홍보 마케팅에 이용한 MGC글로벌에 6억 4,200만 원의 과징금을 부과하였습니다.
또한, 사업자들의 기타 위반... 보호법 위반행위에 대해서는 총 과태료 1억 1,130만 원을 부과하고 재발 방지를 위한 시정명령과 공표명령도 함께 의결하였습니다.
이번 조사 처분은 일상에서 매일 접하는 식음료 서비스의 전반적인 개인정보 관리체계를 면밀히 점검하여 잠재된 개인정보 침해 요인을 선제적으로 제거하고, 유출 사고로 인하여 발생할 수 있는 사회적인 피해와 그러한 사회적인 비용을 최소화하였다는 점에서 의미가 있다, 라고 봅니다.
특히, 개인정보에 대한 인식이 충분하지 않은 아동·청소년의 개인정보는 특별한 보호가 필요하고 다양한 참여자가 연결된 플랫폼 생태계에서는 적법한 처리 근거를 가지고 처리를 해야 하며, 필요 최소한의 정보를 수집하는 등 프라이버시 중심의 서비스 설계가 중요하다는 점을 특히 강조드립니다.
아울러, 디지털 환경에서 처리 목적을 달성한 개인정보의 미파기는 잠재적으로 유출 사고의 핵심 변수로 작용할 수 있는 만큼 불필요한 개인정보를 즉시 파기할 것을 당부드립니다.
끝으로, 개인정보위원회는 앞으로도 국민 실생활에 직결된 분야를 중심으로 상시 점검 및 사전 예방 활동을 강화해 나갈 방침입니다.
이상입니다.
[질문·답변] ※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 이번에 처분받은 사업자 중에서 버거킹 같은 경우가 만 14세 미만 아동 정보를 수집했다고 조사가 됐는데 이게 모바일 앱 가입할 때 수집되는 정보들이 이렇게 처리된 건지 궁금하고요.
그리고 버거킹이 가장 큰 과징금을 처분받았는데 아동 정보 수집한 점이 이 과징금 처분에 영향을 미쳤는지 궁금합니다.
<답변> 처음에 말씀 주신 버거킹 같은 경우는 앱 회원가입 하는 과정에서 생년월일을 수집하였고 그중의 14세 미만 아동의 개인정보를 법정대리인 동의 없이 수집한 사실을 확인하여서 처분한 거고요. 이 과징금 처분 자체가 법정대리인 동의 위반행위에 대해서 9억 2,400만 원의 과징금을 부과한 것입니다.
<질문> 저도 버거킹 물어보겠는데 제일 액수가 많잖아요, 과징금이. 그런데 설명은 좀, 1줄이어서, 이렇게 많으니까 여러 가지 쭉쭉 내역이 뒤에 있는데, 그런데 저희한테 풀이는 1줄이라도 조금 더 많은 만큼 설명도 많았으면 좋을 것 같은데 그래도 이렇게 제일 또 많이 차이나는 거 하나 궁금하고요.
그중에 제일 심각한 게 뭐라고 보시는 건지, 버거킹이 쭉 이렇게 몇 가지 유한 페널티가 있는데, 그리고 또 하나 평소에 궁금한 건데 과징금하고 과태료를 나눠서 부과를 하시잖아요. 물론, 경미 사항이 있고, 그다음에 액수가 다른 거, 또 하나 가장 큰 차이가 전과 기록이 남는 걸로 돼 있는데 그걸 어떤 의미인 건지, 그러니까 기업에서 전과 하나는 남는 거고 안 남는다, 그런 것 같은데 과징금하고 과태료 차이를 좀 더 설명, 어떻게 의미가 있으며 설명 좀 부탁드리겠습니다.
<답변> 먼저, 버거킹의 과징금이 큰 이유는 기본적으로 과징금 산정은 매출액을 기준으로 산정하기 때문에 보시면, 그러니까 이번에 저희가 과징금을 부과한 사업자가 두 군데인데 버거킹과 메가커피를 운영하는 MGC글로벌입니다. 기본적으로 두 군데 매출액 자체가 차이가 있고요.
그다음에 관련해서 위반행위와 관련된 매출액을 산정하는 과정에서 일부 제외하는 부분들이 있지만 기본 구조 자체가 매출액을 기준으로 하기 때문에 관련된 매출액이 크게 산정되고 과징금이 크게 부과될 수밖에 없다는 점 설명드릴 수 있을 것 같고요.
과징금과 과태료 같은 경우에는 법적으로 위반행위의, 위반 사항에 대해서 법 조항별로 해서 과징금을 부과하는 중대한 행위, 그다음에 조금 경미한 질서법 행정... 질서법에 해당하는 과태료를 부과하는 행위를 명확하게 구별하고 있습니다. 거기에 따라서 저희가 과징금·과태료를 부과하는 거고요.
전과라는 거는 조금 의미가 없는 것 같은데 전과는 약간 형벌이나 이런 거와 관계가 되는 것 같고 기업 입장에서 과징금 같은 경우에는 위반행위에 대해서... 위반행위에 상응하는 그런 벌금을 묻는 행위이고 과태료 같은 경우는 질서 위반행위에 대해서, 조금 경미한 사항에 대해서 부과한다, 라고 보시면 될 것 같습니다.
그래서 이번 식음료 관련해서는 법정대리인 동의를 받지 않는다든가, 그다음에 회원의 동의 없이 개인정보를 목적 외로 이용한다든가 이런 부분들은 굉장하게 큰 권리침해 행위이기 때문에 이런 부분들은 법적으로 과징금 부과 대상으로 되어 있고 거기에 따라서 과징금을 부과하였습니다.
<질문> 지금 식음료는 저희 국민들이 많이 접하는, 파급력이 큰 분야잖아요. 그런데 이렇게 해놓고 또 나중에 한번 체킹이라도 됐는지, 이렇게 한번 그걸 피드백, 체킹하는 게 모니터링을 언제하는지 궁금하고요.
그다음에 다음 분야도 또 이렇게 선제적으로 하셔서 금방 얘기하신 것 같이 되게 좋은 것 같은데, 다음 또 어디 이렇게 국민 밀접한 분야, 인더스트리라든가 그게 또 어디쯤 있는지.
<답변> 먼저 저희가 이번에 처분을 하면서 금액적으로 과징금·과태료를 부과하지만 관련해서 법위반 사항에 대한 시정명령을 같이 부과를 했습니다. 거기에 대한 이행 내역을 저희가 3개월 후에 제출을 받을 예정이고요. 이행 결과를 가지고 저희가 제대로 이행됐는지 이런 부분들은 후속적으로 점검을 해 나가는 절차를 가지고 있다는 말씀을 드리고요.
그다음에 식음료 분야 말고 다른 분야에 대해서는 저희가 위원회 차원에서 이런 업종을 선정을 하고 이런 기획해서 진행하는 부분들도 있고 그때그때 시의적절하게 조금 이슈가 있거나 이런 부분들을 점검하는 활동들이 많이 있습니다. 그런 부분들은 제가 지금 모든 계획을 말씀드리기는 어렵고 적절한 시점에 저희가 계획하고 있는 분야들, 그다음에 앞으로 할 분야들을 말씀드릴 수 있는 기회가 있을 것 같습니다, 위원회 차원에서.
<답변> (사회자) 더 이상 질문이 없으신 관계로 이상으로 오늘의 브리핑을 마치도록 하겠습니다. 참고로 말씀드린 거와 같이 엠바고는 금일 11시입니다. 다시 한번 말씀드리고요. 오늘 브리핑을 이상으로 마치도록 하겠습니다. 참석해 주셔서 감사드립니다.
이 누리집은 대한민국 공식 전자정부 누리집입니다.
속기자료.hwp
속기자료.pdf
