KT·쿠팡·SSG 등 9개사, 개인정보법 위반 시정명령·과태료

/사진=개인정보보호위원회

KT와 쿠팡, SSG닷컴 등 9개사가 개인정보보호 법규 위반 혐의로 과태료 처분 및 시정명령을 받았다.

개인정보보호위원회는 30일 제19회 전체회의를 열어 이들 9개사에 총 5160만원의 과태료를 부과하기로 했다며 이같이 밝혔다.

쿠팡은 쿠팡앱을 업데이트 하는 과정에서 안전조치 의무를 소홀히 한 결과 14명의 개인정보가 유출되는 사건이 이었다. 또 쿠팡이츠 스토어에 회원가입이 완료되지 않았거나 서비스 이용중지를 요청한 음식점주의 개인정보를 파기하지 않고 문자메시지를 발송한 건이 적발됐다.

'스타일난다'를 운영하는 주식회사 난다 역시 개인정보가 기재돼 있는 페이지의 읽기 권한을 '관리자'가 아닌 '비회원 이상'으로 설정하는 등 안전조치 의무 소홀이 확인됐다. 난다에서도 30명에 이르는 개인정보가 유출됐고 유출된지 24시간 이상 지나서야 유출통지 및 신고가 이뤄졌다.

KT는 테스트 계정으로 로그인한 상태의 인터넷 주소를 담당자 실수로 고객들에게 발송, 이 과정에서 1명의 개인정보가 유출됐다. SSG닷컴은 잘못 부착한 택배송장을 제거하지 않고 새로운 송장을 덧붙여 발송했는데 이를 수령한 고객이 타인의 개인정보를 열람하는 일이 있었다.

아울러 네오게임즈와 리치몬트코리아는 소스코드 설정 오류 등 관리자 보안조치 소홀로 각각 36명, 1명의 개인정보가 유출됐다. 데이원컴퍼니는 배송정보가 포함된 엑셀파일을 잘못 편집해 82명의 개인정보가 타인에게 전달된 사실이 확인됐다. 그레잇모바일은 개인정보처리에 대해 동의를 받을 때 각각의 동의사항을 구분하지 않고 개인정보 수집목적 등을 정확히 알리지 않았다.

해킹을 통한 개인정보 유출도 확인됐다. 피알컴퍼니는 데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 빼내는 기법인 SQL(Structured Query Language) 주입 공격을 받아 48명의 이용자 계정정보가 탈취되는 일이 이었다. 피알컴퍼니는 침입 차단·탐지시스템 설치·운영, 비밀번호 암호화, 접속기록 보관 등 안전조치 의무와 유출 통지·신고 의무도 위반한 것으로 확인됐다.

진성철 개인정보위 조사2과장은 "최근 해커가 대량 스팸문자 발송을 위해 문자발송 서비스를 제공하는 웹사이트를 공격하는 사례가 종종 발생하고 있다"며 "해커의 표적이 될 수 있는 문자발송 서비스를 운영하는 사업자는 사고 예방을 위해 상시적 웹사이트 취약점 점검, 이용자 로그인시 추가인증 수단 도입 등 적극적 보호조치를 취할 필요가 있다"고 했다.