개인정보보호위원회(위원장 고학수, 개인정보위)는 12일 제 6회 전체회의를 열고, 개인정보 보호 법규를 위반한 모두투어네트워크에 총 7억 5720만 원의 과징금 및 과태료를 부과함과 동시에 공표명령 및 개선을 권고하기로 의결했다.
모두투어네트워크는 온·오프라인 여행 중개 서비스 ‘모두투어’를 운영하고 있는 사업자다. 앞서 개인정보위는 지난해 7월 모두투어네트워크의 개인정보 유출 신고에 따라 조사한 결과, '개인정보 보호법'에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실을 확인했다고 설명했다. 구체적인 위반 내용과 처분 결과는 다음과 같다.
■ 사실관계 및 위반내용
신원미상의 해커가 작년 6월 모두투어네트워크가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했고, 해당 파일에 존재하는 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여 명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취했다.
'웹셸 공격'은 특정 웹페이지의 파일 업로드 취약점(파일 업로드 기능을 이용해 비정상적인 스크립트 파일 등을 실행)을 통해 시스템에서 실행가능한 악성코드를 삽입 및 실행해 관리자 권한 획득, 개인정보 탈취 등을 행하는 공격 기법이다.
개인정보위 조사 결과에 따르면, 모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 조치로 업로드 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 했다. 아울러, 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.
또 모두투어네트워크는 2013년 3월부터 수집한 비회원 316만여 건(중복 포함)의 개인정보를 보유기간이 경과했음에도 파기하지 않고 보유하고 있어, 대규모 유출에 영향을 끼쳤다. 작년 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 같은해 9월에야 개인정보 유출사실을 통지한 것도 개인정보 침해 우려를 키운 한 원인으로 보인다고 위원회는 짚었다.
개인정보 보호법 상 개인정보 유출사실 인지 후 72시간 내에 유출통지를 개인정보위에 의무적으로 통보해야 한다.
■ 처분 결과
개인정보위는 모두투어네트워크에 과징금 7억 4700만 원과 과태료 1020만 원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 이와 함께 향후 유출통지 지연 행위 등이 재발하지 않도록 내부 개인정보 보호 관리체계 개선을 요구했다.
■ 조사 및 처분 의의
관련기사
- 민주당, 김홍일 방통위원장 탄핵 추진..."6월내 통과 목표"2024.06.27
- 김홍일 위원장 "2인 체제 방통위, 바람직하지 않지만 위법 아니다”2024.06.21
- LG 구광모 6년...AI·바이오·클린테크 키운다2024.06.28
- 화재 막는 배터리 진단기술 뜬다...민테크, 상장 후 존재감 '쑥쑥'2024.06.28
