스타벅스코리아, 개인정보 유출 1000만원 과태료

AWS 보안취약 지적에는 개인정보법 위반 사항 없다고 판단

/사진=개인정보보호위원회

지난해 스타벅스커피코리아와 관련해 보안취약점에 대한 우려가 불거졌던 AWS(아마존웹서비스) 서비스에 대해 당국이 법 위반 사항은 없었다고 최종 판단을 내렸다.

개인정보보호위원회는 11일 올해 첫 전체회의를 열어 에스씨케이컴퍼니(옛 스타벅스커피코리아), 디노 등 2개사의 개인정보보호 법규 위반에 대해 총 1300만원의 과태료를 부과하기로 했다며 이같이 밝혔다.

지난해 8월 에스씨케이컴퍼니 내부자에 의해 그간 에스씨케이에서 각종 정보보안 법규 위반이 있었다는 사실이 폭로된 적이 있었다. 이 과정에서 에스씨케이가 AWS 등 사업자의 클라우드 시스템을 사용하고 있고 AWS 등의 서비스에서도 보안취약 사항이 있다는 주장도 제기됐다.

개인정보위는 조사 과정에서 에스씨케이 DI(Duplication Information) 중복사고가 발생했음에도 이를 제때 신고하지 않았다는 점을 확인했다. 홈페이지에 가입할 때 아이디 등이 중복되는지 점검하는 시스템에 오류가 생겨 다른 사람의 계정으로 로그인되는 등 문제가 생겼음에도 이를 KISA(한국인터넷진흥원) 등에 제때 신고하지 않았던 것이다. 관련된 정보유출 건수는 4명분이었다. 개인정보위는 이에 에스씨케이에 과태료 1000만원을 부과했다.

개인정보위는 관련 건을 조사하던 중 AWS에서도 문제가 된 사실이 있는지를 확인했으나 개인정보 법규 위반사실이 없다고 판단했다. 개인정보위 관계자는 "에스씨케이가 AWS에 시스템을 이관하던 과정에서 내부 모니터링을 통해 문제점을 확인한 것"이라며 "문제가 24시간내 조치가 완료됐고 아무런 개인정보 유출도 일어나지 않았기에 법규위반이 없다고 판단했다"고 설명했다.

아울러 1대1 운동지도 서비스를 운영하는 디노는 고객센터 접수내역에 대한 분석·대응을 위해 시스템에서 내려받은 고객센터 문의·답변을 담은 엑셀 파일과 이용자가 요청한 1대1 운동상담 내역 엑셀파일을 별도 분리하지 않았다. 이 과정에서 고객센터 상담직원이 1대1 운동상담 내역을 요청한 이용자에게 고객센터 문의·답변 파일을 이메일로 잘못 첨부발송, 51명의 개인정보가 유출됐다. 개인정보위는 디노에 300만원의 과태료를 부과했다.

진성철 개인정보위 조사2과장은 "개인정보를 처리하는 사업자는 운영상의 과실 등으로도 개인정보 유출 사고가 일어날 수 있는 점을 유의해 안전조치와 관련된 의무사항을 상시 점검해야 한다"며 "유출 사고가 일어나면 유출 신고 등을 적법하게 이행해야 한다"고 밝혔다.