방통위는 8일 정부과천청사에서 전체회의를 열고 숙박앱 '여기어때'를 운영하면서 개인정보를 유출한 위드이노베이션에 △과징금 3억100만원 △과태료 2500만원 △책임자 징계권고 △위반행위 중지 및 재발방지대책 수립 시정명령 △시정명령 처분사실 공표 등의 행정처분을 의결했다고 밝혔다.
방통위는 지난 3월23일부터 과학기술정보통신부, 경찰청, 한국인터넷진흥원(KISA) 등과 함께 현장조사를 실시해 해커가 개인정보를 탈취한 사실을 확인했었다.
해커에게 유출된 개인정보는 '여기어때' 서비스 이용자의 숙박예약 정보 323만9210건과 회원정보 17만8625건으로 파악됐다. 이 중 유출된 숙박이용내역을 악용해 음란문자 4817건이 발송된 것으로 나타났다.
방통위 조사결과 위드이노베이션은 '정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 정보통신망법)'에서 정한 △접근통제 △접속기록 보존 △암호화 △유효기간제 등 개인정보 보호조치 규정 다수를 위반한 것으로 확인됐다.
구체적으로 위드이노베이션은 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않았고, 불법적인 개인정보 유출 시도를 탐지하지 않은 것으로 조사됐다.
아울러 해킹을 당한 마케팅센터 웹페이지에 대한 취약점 점검을 수행하지 않았으며, 관리자페이지 접근권한을 고객상담사에게도 허용하는 등 과하게 부여했다. 인사이동 시 취급자의 접근권한도 지체 없이 변경하지 않아 해커가 이를 악용해 개인정보 파일을 다운로드 할 수 있게 한 것으로 나타났다.
방통위는 위와 같은 보호조치 규정을 준수하지 않아 발생한 취약점이 해킹에 직간접적으로 악용된 점, 피해규모가 크고 유출된 개인 정보를 활용한 문자발송 등 이용자 추가 피해가 확인됨 점 등을 고려해 위드이노베이션 위반행위를 '매우 중대한 위반행위'로 보고 과징금을 산정·부과했다고 전했다.
이효성 방통위원장은 "O2O(Online to Offline) 서비스의 경우 사생활과 관련된 민감정보를 수집·이용하는 경우가 많아 보안투자나 개인정보 보호를 위한 노력을 병행해야 한다"며 "방통위도 취약분야에 대한 사전점검 및 위반업체에 대한 보다 엄정한 제재를 통해 이용자 피해를 줄여 나가겠다"고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]