안전조치를 제대로 하지 않아 해킹으로 개인정보가 유출된 기업에 억대 과징금과 과태료가 부과됐다.

개인정보보호위원회는 13일 제5회 전체회의를 열고 개인정보보호 법규를 위반한 참좋은여행㈜ 루안코리아㈜ ㈜디에이치인터내셔널 3개 업체에 과징금 3억3907만원과 과태료 1800만원을 부과하기로 의결했다.

개인정보위에 따르면 이들 3개 업체는 모두 침입탐지시스템을 운영하지 않았다. 또 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속 시 2차 인증 등 안전한 인증수단을 적용하지 않고 아이디와 비밀번호만으로 접속 가능하게 운영했다. 안전을 위해서는 아이디와 비밀번호 외에도 인증서 보안토큰 일회용비밀번호 등 추가적인 인증수단이 필요한데 이런 조치를 하지 않았다는 것이다. 이들 업체는 결국 이 같은 안전조치 의무를 지키지 않은 탓에 해킹 공격을 받아 개인정보 유출에까지 이르게 한 책임이 있다고 개인정보위는 밝혔다.

참좋은여행은 여행상품 홈페이지를 운영하는 업체로, 해커가 탈취한 내부 직원의 계정정보를 이용해 여행 주문관리시스템에 접속, 이용자의 개인정보를 빼갔다. 또 이를 통해 스팸메일이 발송되는 피해가 발생했다. 참좋은여행은 과징금 1억7438만원과 과태료 360만원 처분이 결정됐다.

루안코리아는 화장품·건강식품 쇼핑몰을 운영하는 업체는 외부에서 데이터베이스에 접속 시 아이디·비밀번호만으로 접속할 수 있도록 운영했고, 침입탐지시스템을 설치하지 않아 개인정보 유출 시도를 탐지하지 못했다. 또 이용자의 비밀번호 주민등록번호 계좌번호 등을 암호화하지도 않았다. 이 업체도 결국 해킹으로 개인정보가 유출됐다. 루안코리아에 부과된 과징금은 1억5219만원, 과태료는 720만원이다.

애완용품 온라인쇼핑몰을 운영하는 디에이치인터내셔널은 업로드파일 확장자 제한, 홈페이지 보안 취약점 점검·개선 의무를 지키지 않았고, 이 때문에 해커가 원격조정 파일을 설치해 개인정보를 빼갔다. 이 업체에는 과징금 1250만원과 과태료 720만원이 부과됐다.

김신일 기자 ddhn21@naeil.com