인터파크·무신사 등 개인정보 유출로 과징금·과태료 처분

[아이뉴스24 김성화 기자] 개인정보보호위원회(개인정보위)가 인터파크와 무신사, 리본즈 등 8개 업체에 대해 개인정보 보호에 필요한 안전조치를 소홀히 하거나, 개인정보 유출통지·신고를 지연‧위반했다는 이유로 과징금과 함께 과태료를 부과했다고 14일 밝혔다.

개인정보위는 이날 전체회의를 열고 인터파크에게 과징금 10억2천645만원, 과태료 360만원을 부과했다. 인터파크는 해커가 앱 서비스에 크리덴셜 스터핑 공격을 받았지만, 비정상적인 접속(로그인) 시도에 대응할 수 있는 차단 정책을 적용하지 않아 개인정보 78만4천920건을 유출 시켰다. 크리덴셜 스터핑은 유출된 접속 정보를 다른 계정에 무작위로 대입해서 타인의 개인정보를 빼내는 수법이다.

리본즈는 아마존 클라우드 서비스(AWS) 내 개발 서버 접근권한을 제한하지 않았고, 해커가 이 점을 이용해 개인정보 118만3천325건을 유출했다. 리본즈는 과징금 1억7천201만원과 과태료 420만원을 부과 받았다.

팍스넷 역시 해커의 공격으로 개인정보 28만4천54건이 유출됐으며 이와 함께 개인정보 유출신고와 유출통지를 지연한 사실도 확인돼 3천484만원의 과징금과 1천100만원의 과태료를 부과 받았다.

이외 드림어스컴퍼니와 무신사, 고시아카데미 등은 해커의 공격이 아닌 기술 문제로 개인정보를 유출해 징계를 받았다.

드림어스컴퍼니는 시스템 작업 중 설정 오류로 인해 신규 가입회원의 정보와 소셜 로그인으로 신규 접속하는 회원 정보가 테스트용 데이터베이스(DB)에 저장됐다. 이로 인해 이용자가 로그인 시 다른 이용자로 로그인되면서 타인의 개인정보를 확인할 수 있는 상황이 발생했다. 드림어스컴퍼니 과징금 3억7천895만원과 과태료 600만원을 받았다.

무신사는 모바일을 통한 배송지 변경 기능을 개선하면서, 비회원에게도 '지난 배송지 목록'이 보여 지도록 잘못 설정함에 따라, 비회원이 주문결제 후 배송지 변경하면 다른 회원의 배송지 정보가 열람되는 위반사항이 확인됐다. 개인정보위는 무신사에게 과태료만 1천80만원을 부과했다.

또 고시아카데미는 관리자 인증 절차를 누락한 채 시스템을 운영함으로써 회원 검색 페이지에 누구나 접근을 가능하게 했고, 이에 따라 구글 검색엔진에서 회원의 정보가 검색되는 등 정보가 유출됐다. 고시아카데미의 과징금은 4천720만원, 과태료는 1천80만원이다.

드림어스컴퍼니와 무신사, 고시아카데미 3개 사업자는 유출 사실을 인지하고도 정당한 사유 없이 24시간 경과 후에 이용자에게 유출 사실을 신고하거나 통지해 개인정보 보호법을 위반했다.

이외 빌박닷컴은 부동산 정보를 제공하는 누리집의 관리자페이지 접근 제한 등을 소홀히해 해커의 공격으로 개인정보가 유출됐다. 리니칼코리아는 개인정보가 포함된 백업파일 보관업무를 위탁하면서 개인정보 처리 위·수탁 계약을 문서로서 체결하지 않았고, 정보주체에게 위탁업무 내용과 수탁자를 공개하지 않은 사실이 확인돼 과태료 처분을 받았다. 두 회사는 각각 660만원과 200만원의 과태료를 처분 받았다.