개인정보위, 개인정보보호 법규 위반 4개 사업자 제재
- 안전조치의무 위반 등에 대해 과징금과 과태료 5억 2천만 원 부과 -
- 온라인 사이트 운영자, 게시판에 악성코드가 올라가거나 실행되지 않도록 주의할 필요 -


□ 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 3월 8일(수) 제4회 전체회의를 열고, 개인정보보호 법규를 위반한 4개 사업자에 대하여 총 4억 8,342만 원의 과징금과 3,480만 원의 과태료를 부과하기로 결정하였다.

□ 개인정보위는 개인정보 유출신고에 따라,

○ 온라인 사이트를 운영하는 ㈜에스엘바이오텍, ㈜티앤케이팩토리, ㈜케이지에듀원, 청오디피케이㈜에 대한 조사에 착수하였고,

- 조사 결과 4개 사업자 모두 안전조치의무를 소홀히 하고, 개인정보 유출신고 또는 유출통지 의무를 위반한 사실을 확인하였다.

○ ㈜에스엘바이오텍은 건강기능식품 온라인 쇼핑몰을 운영하면서,

- 개인정보처리시스템에 대한 접근권한을 제한하지 않고 악성코드 파일이 올라가기(업로드)되고 실행되도록 하는 등 접근통제를 소홀히 함으로써

- 이용자 75명의 신용카드 결제정보를 포함하여 119,756명의 개인정보가 유출되도록 하였다.

- 또한, 개인정보 유출신고와 유출통지를 지연한 사실도 확인되어 과징금 4억 6,457만 원과 과태료 720만 원이 부과되었다.

○ ㈜티앤케이팩토리는 온라인 쇼핑몰을 운영하면서,

- 개인정보처리시스템에 대한 접근권한을 제한하지 않고 악성코드 파일이 업로드되고 실행되도록 하는 등 접근통제를 소홀히 함으로써 이용자 16,702명의 개인정보가 유출되도록 하고,

- 이용자에 대한 개별 유출통지를 하지 않은 사실이 확인되어 과징금 1,138만 원과 과태료 960만 원이 부과되었다.

○ ㈜케이지에듀원은 온라인 교육 서비스를 운영하면서,

- 494명의 주민등록번호를 법적 근거 없이 처리한 사실과,

- 개인정보 처리시스템에 대한 디렉토리 리스팅* 차단 설정을 누락하여 신분증 1,136건이 검색엔진에 노출되도록 한 사실,

* 디렉토리 리스팅 : 특정 디렉토리(폴더)를 웹 브라우저에서 열람하면 해당 디렉토리(폴더) 내 목록과 파일이 직접 조회될 수 있도록 설정하는 옵션

- 개인정보 유출신고를 지연한 사실 등이 확인되어 과징금 747만 원과 과태료 1,080만 원이 부과되었다.

○ 청오디피케이㈜는 온라인 피자 배달 서비스를 운영하면서,

- 전자우편 유효성을 검증하지 않고 간편인증 가입회원과 기존회원이 전자우편 주소만 일치하는 경우에도 동일 회원으로 식별되도록 인증 로직을 잘못 설정하여 이용자 1명의 개인정보가 유출되도록 하였고,

- 개인정보 유출신고와 유출통지를 지연한 사실이 확인되어 과태료 720만 원이 부과되었다.

□ 진성철 개인정보위 조사2과장은 “해커가 온라인 사이트의 파일 업로드 취약점을 이용하여 악성코드를 업로드 후 실행함으로써 관리자 권한을 획득하는 공격 방법(웹셸 공격)을 통해 신용카드 결제정보를 유출해 간 사례가 발생하여 주의가 요구된다”면서,

○ “온라인 사이트 운영자들은 게시판에 확장자가 PHP, JSP, ASP 등인 파일이 업로드되지 않도록 첨부파일 기능을 제한하고 실행권한을 제거하는 등 홈페이지 취약점을 개선할 것”을 당부하고,

○ “웹셸 공격 등으로 결제정보가 유출되는 등 유사한 사례가 발생한 경우, 즉시 개인정보보호위원회 또는 한국인터넷진흥원(www.privacy.go.kr/wcp/dcl/spl/splRptInfo.do)에 신고하고, 신속하게 이용자에게 통지할 것”을 강조하였다.

□ 한편, 해킹 공격으로 기술지원이 필요한 경우 한국인터넷진흥원(www.boho.or.kr, 118)에서 지원을 받을 수 있다.



* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 김지현(02-2100-3157)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”

이전다음기사

다음기사추경호 부총리, 사우디아라비아 재무부 장관과 면담