개인정보위, 고객 개인정보 유출한 보람상조에 과징금 5억4250만원

개인정보보호위원회(이하 개인정보위)는 개인정보보호법을 위반한 보람상조개발 등 보람상조 7개 사업자에 과징금 총 5억4250만원과 과태료 1140만원을 부과하고 시정명령과 공표명령을 의결했다고 14일 밝혔다. 전체 제재 금액은 5억5390만원이다.

개인정보위는 지난 13일 제9회 전체회의를 열고 보람상조개발, 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스 등 7개 사업자의 개인정보보호법 위반 사항을 심의했다.

이번 조사는 2024년 5월 28일 보람상조개발이 개인정보 유출을 신고하면서 시작됐다. 개인정보위는 조사 과정에서 안전조치 의무 위반, 수탁자 관리·감독 소홀, 유출 통지 지연, 개인정보 미파기 등을 확인했다.

보람상조개발은 보람상조리더스 등 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행했다. 이 과정에서 홈페이지를 통해 수집한 개인정보를 통합 관리하는 데이터베이스(DB)를 운영했다.

개인정보위 조사 결과 보람상조개발은 해당 시스템에 대한 접근제어 등 안전성 확보 조치를 소홀히 했다. 해커는 홈페이지 취약점을 이용한 에스큐엘 인젝션(SQL Injection) 공격으로 DB에 침입해 이름, 휴대전화번호, 이메일 등 고객 개인정보를 탈취했다. 에스큐엘 인젝션은 웹 애플리케이션 취약점을 악용해 악성 SQL 구문을 입력하고 데이터베이스를 조작하거나 정보를 빼내는 공격 기법이다.

보람상조개발은 유출 사실을 인지한 뒤 정보주체에게 지체 없이 알려야 했지만 법정 기한을 넘겨 통지했다. 보유 기간이 지난 개인정보도 파기하지 않고 보관한 것으로 확인됐다.

개인정보위는 보람상조개발에 안전조치 의무 위반 등으로 과징금 5억3100만원을 부과했다. 유출 통지 지연과 개인정보 미파기에 대해서는 과태료 1140만원을 부과했다.

위탁사인 6개 계열사도 제재 대상에 포함됐다. 이들 회사는 개인정보 처리 위탁 주체로서 수탁자인 보람상조개발이 개인정보를 안전하게 처리하도록 교육하고 감독해야 했다. 개인정보위는 이를 충분히 이행하지 않았다고 보고 보람상조리더스, 보람상조라이프, 보람상조피플에 총 1150만원의 과징금을 부과했다. 6개 계열사에는 시정명령과 공표명령도 내려졌다.

개인정보위는 보람상조 측에 그룹 차원의 개인정보 처리 현황 점검과 정비를 명령했다. 의사결정 체계 정비와 위수탁 관계 투명성 확보도 시정조치에 포함했다.

이번 처분은 계열회사 등 여러 기업이 얽힌 개인정보 처리 구조에서 관리 책임을 명확히 한 사례다. 개인정보를 통합 처리하는 기업은 처리 체계를 투명하게 운영해야 한다. 위탁자는 수탁자의 개인정보 처리 현황과 보호 조치를 실질적으로 관리·감독해야 한다.

개인정보위는 대규모 개인정보를 처리하거나 복잡한 위수탁 구조를 가진 사업자에 대한 실태점검과 감독을 강화할 방침이다. 현재 상조 분야 전반에 대해서도 개인정보 처리실태와 관행 개선을 위한 사전 실태점검을 진행하고 있다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network