개인정보보호위원회는 23일 제5회 전체회의를 개최하고 개인정보가 유출된 16개 사업자의 개인정보 법규 위반에 대해 총 2370만원의 과징금과 9200만원의 과태료 처분을 의결했다고 밝혔다. 조사결과 유출 원인으로는 해킹이 12건이었고, 업무상 과실이 4건이었다.
강원도의사회 등 4개 사업자는 업무상 실수로 개인정보가 외부에 공개되거나 내부 직원들에게 개인정보가 잘못 전달된 것으로 조사됐다. 강원도의사회의 경우 웹사이트 유지보수 업체가 실수로 경상남도 의사회에 강원도의사회 선거인명부 3320명를 게시해 과태료 300만원 처분을 받았다.
한국투자신탁운용은 웹페이지 개발 실수로 접근 통제가 이뤄지지 않아 온라인 토론회 참가 신청자 명단 2932명이 인터넷에서 검색됐다. 스태츠칩팩코리아와 제이셋스태츠칩팩코리아는 담당직원이 교육 안내 메일을 보내면서 실수로 인사정보 파일을 첨부했다. 한국투자신탁운용과 스태츠칩팩코리아, 제이셋스태츠칩팩코리아는 각각 300만원 과태료 처분을 받았다.
아시아나항공과 SK하이닉스 등은 해커 공격을 받아 개인정보가 유출됐다. 해킹 방법은 SQL 인젝션(데이터베이스에 대한 질의값을 조작해 원하는 자료를 빼내는 기법)과 웹셀(웹 서버의 취약점을 이용해 원격 명령을 시행하는 도구) 공격, 무작위 대입 공격(모든 경우의 수를 대입해 암호를 푸는 기법) 등이었다. 각 사업자 별로 △한국화재연구소 427건 △넬슨스포츠 2696건 △아시아나항공 198건 △SK하이닉스 2207건 △성보공업 276건 등 개인정보가 유출됐다.
캔바 등 네 개 사업자는 아마존클라우드서비스(AWS)를 이용하면서 안전한 인증수단을 적용하지 않아 해커에게 관리자 접근 권한(액세스 키)를 탈취당했다. 각 사업자 별로 △캔바 23만6775건 △징가 1만3057건 △플루크 2230건 △하우빌드 3771건의 이름과 연락처 등 개인정보가 유출됐다.
탈취당한 개인정보 일부는 스팸메일에 활용되는 등 2차 피해도 발생했다. 성보공업과 (주)잇올의 유출된 개인정보는 텔레그램에, 한국화재연구소, 휘닉스중앙, 하우빌드의 유출정보는 다크웹에 게시됐다. 넬슨스포츠는 해커가 관리자의 메일발송 권한을 이용해 회원들에게 광고성 메일을 보냈으며, 디지틀조선일보에서는 유학상담을 접수한 일부 학부모들에게 보이스피싱 메일이 발송됐다. 또 △캔바 △징가 △플루크 △성보공업 △휘닉스중앙 등 5개 사업자는 개인정보가 유출된 사실을 알고도 즉시 피해자들에게 통지하지 않았다.
개인정보위는 법규를 위반한 16개 사업자 모두에게 과태료를 부과했다. 안전조치를 소홀히 해 개인정보가 유출된 정보통신 서비스 사업자인 징가와 하우빌드, 암호화하지 않은 주민등록번호가 유출된 성보공업 등에는 과징금도 부과했다.
양청삼 개인정보위 조사조정국장은 "개인정보가 유출되지 않도록 사전에 안전조치를 잘 하는 것도 중요하지만 사고 이후에 피해가 확산되지 않도록 피해자들에게 알리는 것도 중요하다"며 "유출이 발생한 경우 피해자들이 더 큰 피해를 당하지 않도록 즉시 유출 통지를 해달라"고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]