매장 입장을 원하는 대기고객에게도 생년월일 등 불필요한 개인정보를 과도하게 요구한 샤넬코리아가 과태료 처분을 받았다.
개인정보보호위원회는 지난 22일 전체회의에서 샤넬코리아에 과태료 360만원을 부과하기로 했다며 이같이 밝혔다. 샤넬코리아는 매장 입장을 원하는 구매자, 동행인 등 모든 대기고객에게 생년월일, 거주지역(국가) 등 정보를 필수적으로 수집했고 이를 제공하지 않은 이들은 매장 입장을 불허하는 등 사실이 확인됐다.
개인정보위는 "대기고객 관리 등 목적에 필요한 범위를 벗어난 개인정보를 필수적으로 수집하고 수집에 동의하지 않은 대기고객에게는 서비스 제공을 거부한 것"이라며 "개인정보보호법을 위반한 행위"라고 판단했다.
아울러 핸드메이드 제품 판매를 중개하고 오프라인 클래스 예약 웹사이트를 운영하는 백패커는 안전조치 의무를 소홀히 해 이용자 개인정보가 탈취되도록 했다는 이유로 2억2789만원의 과징금과 360만원의 과태료 처분을 받았다. 백패커는 웹페이지 보안 허점을 이용해 악의적인 SQL문을 주입해 데이터베이스의 비정상적 동작을 초래하는 SQL인젝션 공격을 받았다. 개인정보위는 "매우 흔하고 공격에 성공하면 큰 피해를 입힐 수 있어서 각별한 주의가 요구되는 공격이지만 간단한 취약점 예방 및 탐지·차단 방식으로 충분히 방어가 가능한 방식"이라고 했다.
이와 함께 개인정보위는 고객상담 채팅 솔루션 '해피톡' 운영사인 엠비아이솔루션, 배송대행 서비스 다배송에 대해서는 시정명령 처분을 내렸다. 엠비아이솔루션은 해커가 관리자 계정으로 서버에 접속해 이름, 전자우편, 주문내역 등 고객사 상담내역 8만7270건이 유출된 바 있다. 이 회사는 데이터베이스에 접속할 수 있는 관리자 계정의 비밀번호를 형상관리서버(소프트웨어 개발을 위한 전체 과정에서 발생하는 모든 항목의 변경 사항을 관리하기 위한 개발환경)에 암호화하지 않은 채 저장했고 개인정보 처리 시스템에 대한 접근 통제, 접속기록 관리 등 개인정보 안정성 확보에 필요한 조치를 소홀히 한 것으로 확인됐다.
다배송은 유럽 등에 소재한 50여 개 고객사의 상품을 한국으로 배송 대행해 주는 업체로, 배송정보 관리자 페이지에 대한 로그인 검증 절차를 누락해 누구라도 해당 페이지에서 배송자의 개인정보(이름·주소·전화번호·개인통관부호 등)를 조회할 수 있도록 소홀히 운영해 700건의 배송정보가 유출된 바 있다.
특히 엠비아이솔루션, 다배송 2개사는 개인정보 유출 이용자를 대상으로 개인정보 유출사실도 알리지 않은 것으로 확인됐다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]