부실관리·개인정보 미파기… 3개사서 120만명 개인정보 유출

/사진=개인정보보호위원회

개인정보 관리를 부실하게 하고 탈퇴 회원의 개인정보나 보유 목적이 종료된 개인정보를 파기하지 않아 120만명 가까운 개인정보를 유출한 3개사가 당국의 제재를 받았다.

개인정보보호위원회는 지난 25일 전체회의에서 72만8680명의 개인정보가 유출된 자동차공임나라, 24만1241명의 개인정보가 유출된 오브콜스, 22만9600명의 개인정보가 유출된 여유텔레콤(와이엘랜드) 등 3개사에 총 1억9719만원의 과징금과 2730만원의 과태료를 부과하기로 했다며 26일 이같이 밝혔다.

자동차 정비 프랜차이즈업 관련 사이트를 운영해 온 자동차 공임나라와 청첩장 제작 관련 사이트를 운영해 온 오브콜스는 최신 보안 프로그램 미적용, 데이터베이스에 대한 접근 권한 미통제 등 안전조치 의무 소홀로 개인 정보가 탈취됐다. 두 사업자 모두 개인정보 유출 통지를 지연신고한 사실도 적발됐다. 특히 자동차공임나라는 탈퇴 회원의 정보를 파기하지도 않았다.

여유텔레콤을 운영하는 와이엘랜드는 인터넷망에서 관리자 페이지에 접속하는 과정에서 2차 인증 및 IP주소(인터넷주소) 제한 등 조치 없이 ID와 비밀번호만으로 접근이 가능하도록 운영해 해킹으로 개인정보가 탈취됐다. 와이엘랜드 역시 개인정보 유출 통지를 지연신고했고 보유목적이 종료된 이용자의 개인정보를 파기하지 않은 사실도 드러났다.

이들 3개사의 개인정보 유출의 주요 원인으로는 웹셸 파일 공격이 꼽혔다. 웹 해킹의 90%에서 사용되고 있는 이 웹셸파일 공격은 웹셸 탐지 프로그램을 통해 파일을 삭제하고 특정 형식(hwp, doc, pdf 등)의 파일만 올릴 수 있도록 확장자를 제한하거나 파일에 대한 실행권한을 제한하는 등 방식으로 대응할 수 있다는 게 개인정보위의 설명이다.

자동차공임나라는 과징금 1250만원에 과태료 1080만원을, 오브콜스는 과징금 3371만원에 과태료 630만원을, 와이엘랜드는 과징금 1억5098만원에 과태료 1020만원을 각각 부과받았다.