개인정보법 위반 신일전자 등 3개사 과태료·과징금 낸다

/사진=개인정보보호위원회

홈페이지 침입 차단·탐지 시스템을 부실하게 운영하거나 개인정보 수집시 동의받는 방법에 관한 규정을 어긴 3개사가 당국의 제재를 받아 과징금·과태료 부과처분을 받았다.

개인정보보호위원회는 지난 11일 제16회 전체회의를 열고 개인정보보호 법규를 위반한 △슈나이더일렉트릭(과징금 799만원, 과태료 420만원) △신일전자 (과징금 2억2400만원, 과태료 1080만원) △국민은행(과태료 120만원, 개선권고) 등 3개사에 처분을 내렸다며 12일 이같이 밝혔다.

신일전자는 자사가 제조·판매하는 생활가전제품을 온라인으로 홍보하거나 제품문의를 받는 웹사이트를 운영해왔다. 신일전자는 개인정보 수집 당시 명시했던 보유기간을 경과한 개인정보를 파기하지 않았고 해킹으로 이용자 개인정보와 관리자 계정이 탈취되는 등 개인정보 유출 통지를 지연한 사실도 확인됐다.

슈나이더일렉트릭은 전기설비 엔지니어링 서비스와 관련한 웹사이트를 운영해왔다. 이 회사는 침입 차단·탐지 시스템 부실 운영, 데이터베이스를 비정상적으로 조작하는 공격기법인 'SQL 인젝션' 예방을 위한 홈페이지 입력값 검증절차 부재, 개인정보 취급자의 비밀번호 암호화 미조치 등이 확인돼 이번 처분을 받았다.

알뜰폰(MVNO) 서비스 관련 웹사이트를 운영해 온 국민은행은 IP주소(인터넷주소, 도메인, URL) 등 개인정보 수집에 대해 정보주체에게 필수·선택사항을 구분하지 않고 동의를 받은 사실이 확인돼 개선권고와 과태료 처분을 받았다.

개인정보위는 "이번 유출 사고에서 공통적 원인이 된 SQL 인젝션 공격의 경우, 잘 알려진 웹 취약점 공격이지만 파괴력이 매우 커 개인정보처리자 등의 지속적인 주의가 필요하다"며 "시큐어 코딩과 데이터베이스(DB) 보안 등의 안전조치의무를 충실히 이행하는 것이 중요하다"고 했다.