487만명 개인정보 유출 韓맥도날드 과징금 7억, 삼성證도 과징금

개인정보보호위원회가 지난 2021년 고객 개인정보를 유출한 한국 맥도날드에 7억원에 가까운 과징금과 1020만원의 과태료 처분을 내렸다. 개인정보위는 고객 개인정보를 유출한 삼성증권에 대해서는 과징금 9800만원과 과태료 360만원을 부과했다.

개인정보위는 22일 오전 정부서울청사에서 전체회의를 열고 이같은 제재 내용을 의결했다. 이날 개인정보위는 한국맥도날드와 삼성증권을 포함해 개인정보보호 법규를 위반한 6개 사업자에 대해 총 8억6276만원의 과징금과 3600만원의 과태료를 부과하기로 결정했다.

조사 결과 한국맥도날드는 음식점 및 맥딜리버리 서비스를 운영하며 이용자의 개인정보가 포함된 백업파일이 네트워크를 통해 파일 공유가 가능한 SMP 프로토콜을 통해 접속될 수 있도록 운영하는 등 접근통제를 소홀히 한 것으로 나타났다. 이로 인해 487만6106명의 개인정보가 해킹 등을 통해 유출됐다.

한국맥도날드는 또 보유기간이 지난 이용자 76만6846명의 개인정보를 파기하지 않았다. 개인정보 유출신고와 유출통지도 지연한 사실도 드러나 과징금 6억9646만원과 과태료 1020만원 처분을 받았다.

삼성증권은 투자교육 누리집을 운영하면서 웹서버 설정 오류로 인한 디렉토리 리스팅 취약점 보완 조치를 하지 않았다. 또 관리자 페이지 접근 시 인증절차를 누락하는 등 접근 통제를 소홀히 해 이용자 4만8122명의 개인정보가 유출되도록 했다.

또 최소 1년 이상 보존·관리해야 하는 개인정보 처리 시스템의 접속기록을 한달여 간만 보관한 사실도 확인돼 과징금 9800만원과 과태료 360만원 처분을 받았다.

이밖에도 개인정보위는 아이마켓코리아와 브리티쉬아메리칸토바코코리아, 제이케이클럽, 카라솔루션 등 4개 사업자에 대해 개인정보보호법 위반으로 과징금과 과태료 처분을 내렸다.


진성철 개인정보위 조사2과장은 "이용자의 개인정보를 처리하는 사업자는 언제든지 해킹 공격 및 시스템 오류 등으로 개인정보 유출 피해가 발생할 수 있다는 점을 인식해야 한다"며 "접근통제 등 안전조치 관련 의무사항을 상시 점검하고 유출 사고가 일어났을 때는 신고 및 통지를 신속·적법하게 해야 한다"고 말했다.