개인정보 2만7000여건 유출…'보람상조'에 과징금 5.5억 부과

ⓒ개인정보보호위원회

상조 서비스 전문 업체인 보람상조가 해킹으로 개인정보 2만7000여 건을 유출해 과징금과 과태료 총 5억5390만원을 물게 됐다.

개인정보보호위원회(개인정보위)는 지난 13일 제9회 전체회의를 열고 개인정보 보호법을 위반한 보람상조 7개 사업자에과징금 및 과태료를 부과하고, 시정 및 공표 명령을 의결했다.

제재 대상이 된 보람상조 7개 사업자는 ▲보람상조개발 ▲보람상조리더스 ▲보람상조라이프 ▲보람상조피플 ▲보람상조애니콜 ▲보람상조실로암 ▲보람상조플러스 등이다.

개인정보위 조사에 따르면 보람상조개발은 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지로 수집된 개인정보를 관리하는 데이터베이스(DB)를 운영해 왔다. 하지만 해당 시스템과 관련해 접근제어 등 안전성 확보 조치를 소홀히 한 것으로 드러났다.

이에 더해 위탁사인 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁사인 보람상조개발을 교육 및 감독할 의무가 있으나 이를 제대로 수행하지 않았다.

이에 해커가 홈페이지 취약점을 이용한 '에스큐엘 인젝션' 공격으로 해당 DB에 침입해 이름, 휴대전화번호, 이메일 등 고객 개인정보를 탈취한 것으로 확인됐다.

개인정보위 조사에 따르면 유출된 개인정보는 2만7882건에 달한다. 홈페이지 가입회원 976명, 온라인 상담회원 1만3827명, 구 홈페이지 본인인증 로그 29명, 구 홈페이지 회원 1만2950명의 개인정보가 유출됐다.

추가로 보람상조개발이 유출 사실을 인지한 이후 정보주체에게 이 사실을 지체없이 통지해야 함에도 법정 기한을 넘겨 통지한 사실과, 보유 기간이 경과한 개인정보를 파기하지 않고 보관한 사실도 파악했다.

이에 따라 개인정보위는 보람상조개발에 안전조치의무 위반 등으로 과징금 5억3100만원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1140만원을 부과했다. 계열사에는 수탁자에 대한 관리 및 감독 책임을 물어 총 1150만원의 과징금을 부과하기로 했다.

아울러 그룹 차원의 전반적인 개인정보 처리 현황 점검·정비 및 의사결정 체계 정비, 위수탁 관계 투명성 확보 등의 시정조치 명령을 내렸다.

개인정보위 측은 "앞으로도 대규모 개인정보를 처리하거나 복잡한 위수탁 구조를 가진 사업자들이 보다 투명하고 안전하게 개인정보를 처리할 수 있도록 실태점검 및 감독을 강화해 나갈 예정"이라고 말했다.