미스터피자, 야놀자에프앤비솔루션 등 6개 사업자들이 온라인을 통해 서비스를 제공하면서 개인정보 보호법에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반해 개인정보보호위원회의 철퇴를 맞았다.
개인정보위는 제7회 전체회의를 열고 디에스이엔·미스터피자·펀잇·야놀자에프앤비솔루션·에스티지24·하이플레이에 총 1억9천699만원의 과징금과 4천710만원의 과태료를 부과키로 했다고 25일 밝혔다.
우선 디에스이엔, 야놀자에프앤비솔루션, 에스티지24, 펀잇, 하이플레이 등 5개 사업자는 유출인지 후 24시간을 경과해 유출신고하거나 통지를 완료하지 못하는 등 개인정보 보호법상 유출통지·신고 의무를 제대로 지키지 않은 것으로 밝혀졌다.
유출사고 당시 개인정보 보호법에 따르면 개인정보 유출사고가 발생한 정보통신서비스 제공자는 24시간 내에 유출 신고와 통지를 완료해야 했다. 현재는 지난해 9월 법이 개정돼 유출통지와 신고 기한이 72시간으로 변경됐다.
개별 사례를 보면 온라인 피자주문 서비스를 운영하는 업체인 디에스이엔은 시스템 개발 과실로 관리자 페이지 주소를 입력하면 누구나 접속해 주문정보를 볼 수 있었다. 검색엔진에도 해당 관리자 페이지가 노출돼 개인정보를 다른 사람이 볼 수 있었던 것으로 파악됐다.
이용자 동의 시에는 주문정보를 1년만 보관한다고 했지만, 실제로는 기간이 지난 이용자의 주문정보를 파기하지 않은 사실도 있었다. 이에 과징금 6천419만원, 과태료 1천80만원의 결과 공표 조치가 내려졌다.
미스터피자는 디에스이엔으로부터 분할 설립되면서 개인정보도 이전받았는데, 보유기간이 지난 주문정보를 파기하지 않고 보관하고 있었던 것으로 조사됐다. 이에 과태료 360만원이 부과됐다.
야놀자에프엔비솔루션은 운영 중인 '도도포인트' 서비스와 관련해 클라우드 데이터 저장소를 이용했는데, 데이터 저장소의 기본 설정값을 공개로 설정해 누구나 해당 주소로 접속하면 저장소에 있던 고객의 개인정보(최소 794건)를 볼 수 있었다. 이에 과징금 3천91만원, 과태료 450만원, 결과 공표 조치가 내려졌다.
에스티지24는 LED 마스크 등을 판매하는 온라인 쇼핑몰로, 이벤트 진행 과정에서 홈페이지 접속자 정보가 중복되도록 잘못 관리해 일부 당첨자(173명)의 선물 수령 정보에 다른 당첨자의 수령 정보가 저장·열람됐다. 이에 과징금 1천524만원과 과태료 780만원이 부과되고, 결과 공표 조치됐다.
관련기사
- 개인정보위, 대한적십자사·국립중앙도서관에 총 640만원 과징금 부과2024.04.25
- 개인정보위, '개인정보 안심구역 시범운영기관' 지정 공모2024.04.23
- 中 알리·테무, "법 준수 유예기간 달라"…개인정보위 '일축'2024.04.22
- 개인정보위, 개인정보 영향평가 수행안내서 발간2024.04.18
펀잇은 해커가 관리자 계정으로 접속해서 회원정보를 확인하고 전체 회원 2만196명을 대상으로 문자메시지를 발송했는데, 외부에서 관리자 페이지에 접속할 때 아이디와 비밀번호 이외에 안전한 인증수단을 적용하지 않았다. 이에 과징금 8천299만원, 과태료 840만원, 결과 공표 조치가 내려졌다.
하이플레이는 해커가 관리자 계정으로 DB 관리프로그램에 접속한 후 1409건의 개인정보를 유출해 다크웹에 게시했다. 다른 사업자로부터 사업을 양도하면서 개인정보도 이전받았으나 이용자에게 알리지 않았고, 법령에 근거없이 이용자의 주민등록번호를 수집한 사실도 있었다. 이에 과징금 366만 원과 과태료 1천200만원이 부과되고 결과 공표 조치됐다.
