2년 전 해킹으로 회원정보가 유출됐던 보람상조에 과징금이 5억여원 부과됐다.

개인정보보호위원회는 13일 제9회 전체회의를 열고 개인정보보호법을 위반한 보람상조개발·리더스·라이프·피플·애니콜·실로암·플러스 등 7개 사업자에 대해 과징금 총 5억4350만원 및 과태료 1140만원을 부과하고 시정 및 공표명령을 의결했다고 14일 밝혔다.

보람상조는 2024년 5월 27일 외부 해킹 공격으로 △회원명 △휴대전화 번호 △이메일 △생년월일 △주소 등이 유출됐다. 피해규모는 2만7882건으로 개인정보위 조사 결과 확인됐다.

이 조사에 따르면, 보람상조개발은 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해 왔으나, 해당 시스템 접근제어 등 안전성 확보 조치를 소홀히 한 것으로 파악됐다. 위탁사인 6개 계열사도 보람상조개발이 안전하게 정보를 관리하도록 교육·감독할 의무를 제대로 이행치 않은 것으로 확인됐다.

그 결과 해커가 홈페이지의 취약점을 이용해 ‘에스큐엘 인젝션(SQL Injection)’ 공격으로 해당 DB에 침입해 고객 개인정보를 탈취했다.

개인정보위에 따르면 보람상조개발은 정보주체 개별통지가 법정 기한을 넘겨 이뤄진 사실, 보유 기간이 지난 정보를 파기하지 않고 보관한 사실이 추가로 확인됐다.

개인정보위는 “계열회사 등 다수 기업이 관련되는 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 발생할 수 있는 보안 사각지대를 경고했다 는 데 의의가 있다”며 “특히 위수탁 등을 통해 개인정보를 통합 처리하는 경우 효율성 못지않게 처리 체계의 투명성 확보가 중요하며, 위탁자는 수탁자의 개인정보 처리 현황 및 보호 조치 등을 실질적으로 관리·감독할 책임이 있다”고 강조했다.

한편 개인정보위는 이날 회의에서 지난해 하반기 처분 중 이행기간이 도래한 222건의 시정명령(권고)·개선권고·공표명령 등 내용에 대한 이행실태를 점검한 결과, 211건(약 95.0%)이 이행되거나 이행계획이 제출됐다고 보고했다.

222건의 시정·개선 조치 중에는 ‘안전조치 의무’가 79.9%로 가장 많았고 ‘취급자 관리·감독’이 5.3%, 주민번호 처리제한(3.3%)이 뒤를 이었다.

이재걸 기자 claritas@naeil.com