개인정보 78만건 샌 인터파크, 다른 회원 배송지 노출된 무신사
인터파크가 78만건이 넘는 개인정보 유출사고를 일으켜 10억원이 넘는 과징금을 내게 됐다. 118만여건의 개인정보가 유출된 온라인 쇼핑몰 리본즈, 28만여건의 개인정보 유출이 발생한 팍스넷도 과징금과 과태료 제재를 받았다. 이 밖에 다른 회원의 배송지를 노출한 무신사 등 총 8개 기업이 보안 조치를 소홀히 해 제재를 받게 됐다.
개인정보보호위원회는 14일 전체회의를 열고 안전 조치 의무를 소홀히 해 개인정보 유출 사태를 일으키거나 신고·통지 의무를 위반한 8개 사업자에게 과징금과 과태료 등 제재를 가하기로 결정했다고 밝혔다.
인터파크는 온라인 중개플랫폼을 운영하면서 동일한 IP에 대규모로 접속을 시도하는 경우와 같이 비정상적인 시도에 대응하는 차단 정책을 적용하지 않아 개인정보 78만4920건이 유출됐다. 해커에 의한 크리덴셜 스터핑 공격에 대응하지 못했다. 이에 개인정보위는 과징금 10억2645만원, 과태료 360만원, 시정명령 등 제재 처분을 부과했다.
명품 온라인 쇼핑몰 업체 리본즈는 아마존웹서비스(AWS) 환경에서 개인정보 처리 시스템을 운영했는데, AWS 내 개발서버 접근 권한을 IP 주소 등으로 제한하지 않았고 해커가 서버에 접속할 수 있는 계정정보를 이용해 이용자 개인정보 118만3325건을 빼냈다. 리본즈는 이에 따라 1억7201만원의 과징금과 420만원의 과태료, 시정명령 처분을 받았다.
무신사는 이용자 편의를 위해 모바일 환경에서 배송지 변경 기능을 개선하는 과정에서 비회원에게도 ‘지난 배송지 목록’이 자동으로 보여지도록 하는 설정 오류을 일으켰다. 비회원이 주문결제 후 배송지를 변경할 때 다른 회원 배송지 정보가 열람되는 위반 사항이 확인됐다. 이로 인해 1080만원의 과태료 처분을 받았다.
팍스넷은 해커의 크리덴셜 스터핑 공격을 받아 28만4054건의 개인정보가 유출됐다. 팍스넷은 개인정보 유출 신고와 유출 통지를 지연하기도 해 3484만원의 과징금과 1100만원의 과태료 처분을 받았다.
이 밖에도 ▲드림어스컴퍼니 ▲고시아카데미 ▲빌박닷컴 ▲리니칼코리아 등이 제재를 받았다. 음원서비스 플로 운영사 드림어스컴퍼니는 시스템 작업 중 설정 오류로 신규 회원의 정보와 소셜 로그인으로 새로 접속하는 회원정보가 테스트용 데이터베이스에 저장되면서 이용자가 로그인 시 다른 이용자로 로그인되는 상황이 발생했다. 이에 따라 과징금 3억7895만원과 과태료 600만원 처분을 받았다.
고시아카데미는 관리자 인증 절차를 누락한 채 시스템을 운영함으로써 이름 등으로 회원을 검색하는 페이지에 누구나 접근이 가능한 문제가 있었다. 이에 따라 구글 검색엔진에서 회원 정보가 검색되는 등 유출 사실이 확인되며 과징금 4720만원과 과태료 1080만원, 시정명령 처분을 받았다.
빌박닷컴은 부동산 정보를 제공하는 홈페이지 관리자페이지 접근제한 등을 소홀히 해 해커의 공격에 의해 개인정보가 유출됐다. 해당 정보 주체에게 유출 통지도 하지 않은 사실 또한 확인돼 과태료 660만원과 시정명령, 개선 권고 등의 처분을 받았다.
리니칼코리아의 경우 개인정보가 포함된 백업파일 보관업무를 위탁 하면서 개인정보 처리 위·수탁 계약을 문서로 체결하지 않았고, 정보주체에게 위탁업무 내용과 수탁자를 공개하지 않은 사실이 확인돼 과태료 200만원 처분을 받았다.
남석 개인정보위 조사조정국장은 “시스템 관리·운영 소홀 등 내부적인 부주의로 최근 개인정보가 유출되는 사고가 빈번하게 발생하고 있다”며 “개인정보를 처리하는 사업자는 유출 사고가 일어나지 않도록 안전조치와 관련된 의무사항이 제대로 적용되었는지 상시 점검해야 한다”고 당부했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
[무료 웨비나] API연결만으로 가능한 빠르고 쉬운 웹3 서비스 구축
- 내용 : API 연결을 통해 웹2와 웹3를 끊김 없이 연결하는 최신 융합 기술과 이를 통한 적용 사례를 다룹니다.
- 일시 : 2024년 10월 10일 (목) 14:00 ~ 15:10