참좋은여행, 개인정보 유출사고에 억대 과징금

최장혁 개인정보보호위원회 부위원장이 13일 서울 종로구 정부서울청사에서 2024년 제5회 개인정보위 전체회의를 주재하고 있다.2024.03.13./사진제공=개인정보보호위원회

개인정보 유출사고를 낸 여행사 참좋은여행 과 유통사 2곳이 개인정보보호위원회로부터 과징금·과태료 처분을 받았다.

개인정보위는 지난 13일 올해 제5회 전체회의를 열고 참좋은여행에 과징금 1억7438만원과 과태료 360만원을 부과하는 법규위반 시정조치 안건을 의결했다고 14일 밝혔다. 함께 시정조치가 의결된 루안코리아는 과징금 1억5219만원과 과태료 720만원, 디에이치인터내셔널은 과징금 1250만원과 과태료 720만원이 부과됐다.

참좋은여행에선 지난해 2월쯤 해커가 직원의 계정정보를 탈취한 뒤 사내 주문관리시스템에 접속, 이용자 개인정보를 빼돌려 스팸메일을 발송하는 사고가 발생했다. 개인정보위는 참좋은여행이 외부에서 내부 개인정보처리시스템으로 접근하는 절차에 보안토큰·OTP(일회성 비밀번호) 등 법령상 규정된 인증수단 없이 ID·비밀번호만으로 로그인을 허용했다고 지적했다.

'루안코리아'는 비밀번호·주민등록번호·계좌번호를 암호화 없이 평문으로 저장하고, 침입탐지시스템도 갖추지 않은 채 외부에서 ID·비밀번호만으로 내부 데이터베이스 접근을 허용하다 해킹을 당한 것으로 조사됐다. '디에이치인터내셔널'은 업로드 파일의 확장자를 제한하지 않는 등 홈페이지 취약점 점검·개선을 소홀히 하다 '웹셸' 공격을 받아 개인정보가 유출됐다.

개인정보위는 이들 업체 3곳에 대해 '안전조치 의무 위반'을 시정조치 이유로 적시하고, 루안코리아·디에이치인터내셔널에 대해선 '유출 통지·신고 특례 위반'도 추가로 적시했다. 개인정보보호법은 개인정보 취급 주체가 유출을 인지한 경우 즉시 이용자와 전문기관에 알리고, 정당한 사유 없이 24시간 이상 지체하는 행위를 금지하는 특례조항이 있다.