비영리기관에 개인정보보호법 위반 과징금ㆍ과태료를 부과하는 게 타당한지, 해외사업자에게 강제력을 행사할 수 있는지 대한 지적이 9일 대두됐다.
개인정보위는 이날 오전 제10차 전체회의를 개최, 6개 사업자에게 5340만 원의 과징금과 3100만 원의 과태료를 부과하는 등 시정조치를 내렸다.
개인정보위는 이노베이션 아카데미가 △고유식별정보 처리시 안전성 확보조치 위반 △주민등록번호 암호화 위반 △주민등록번호 유출 △개인정보 유출 통지 위반 △개인정보 취급자에 대한 관리ㆍ감독을 위반했다는 사실을 확인, 과징금 2500만 원ㆍ과태료 300만 원ㆍ개선권고 및 공표 처분을 내렸다.
지난해 11월 이노베이션 아카데미의 한 교육생이 개인정보가 포함된 파일자료를 열람, 다른 교육생에게 외장하드를 통해 전달했다. 이노베이션 아카데미 측은 클라우드 서버를 통해 교육생 선발, 장학금 지원 등의 사항을 정리했다. 이후 멘토가 해당 업무를 수행한 노트북으로 교육생을 지도했고, 해당 로그 기록을 확인한 교육생이 타 교육생에게 알린 것. 이 과정에서 교육생 지원자 및 관계인의 주민등록번호 1255건을 비롯해 8587명의 개인정보가 유출됐다.
이노베이션 아카데미 측은 해당 사실을 제보 받은 후 접속 경로를 차단하고 하드웨어 회수ㆍ삭제 조치를 취했다. 이어 운영위원회를 개최해 해당 교육생들을 제적하고, 피해신고 접수 센터를 운영했다.
이날 전체회의에는 처분에 앞서 이노베이션 아카데미 관계자가 의견진술을 하기도 했다. 이노베이션 아카데미는 과학기술정보통신부와 서울특별시가 2019년 함께 설립한 비영리재단이다. 박원순 전 서울시장은 당시 소프트웨어 교육 프로그램을 지원, 인재 2000명을 배출하겠다고 공언한 바 있다.
이노베이션 아카데미 관계자는 “재단이 처음 출범하면서 관리 인력이 부족했고, 관련해 준비하지 못한 측면이 있어 송구하다”라며 “(재단이) 비영리기관이고 비전공자에 대한 소프트웨어 교육을 담당하고 있는 만큼, 재단이 예산을 이쪽으로 쓸 수 있도록 도움을 부탁드린다”라고 말했다.
이후 개인정보위 관계자들과 위원들은 비영리재단에 대한 과징금ㆍ과태료의 의미를 되짚었다. 과징금ㆍ과태료가 위법하게 조성한 이윤을 환수한다는 의미인 만큼, 비영리재단에 같은 잣대를 적용하기 어렵다는 지적이다.
윤종인 개인정보위 위원장은 “관련 법령에 따르면 주민등록번호 유출과 관련해 이로 인한 이득을 취하지 않거나 취할 가능성이 낮을 경우 감경사유에 포함만 시킬 뿐, 과징금을 면하는 것까지는 정하지 않고 있다”라며 “재단법인이 원래가 영리목적을 하지 않는 경우 경제적 제재에 의의가 있는 것이냐에 대한 문제를 제기하셨는데, 법의 태도가 그것까지는 상정하지 않고 있다고 생각한다”라고 말했다.
관련해 전체회의에 참석한 개인정보위 관계자는 “과징금을 받을 경우 예산상의 불이익이 있고, (공공기관의 경우) 기관장의 연임에 영향을 미친다”라며 “관리책임자의 의무를 지우는 효과가 있다”라고 설명하기도 했다.
개인정보위는 마이크로소프트(Microsoft)에 과징금 340만 원ㆍ과태료 1300만 원을 비롯해 공표 처분을 내렸다. 개인정보처리 시스템 관리자 계정에 대한 접근통제 등을 하지 않아 outlook 이용자의 대한민국 이용자 144개 계정의 개인정보가 유출됐고, 개인정보 유출 신고와 이용자에 대한 통지도 지연해서다.
이 과정에서 마이크로소프트는 11일이 지나 개인정보 유출 사항을 통지했다. 2019년 4월 12일 개인정보 유출을 인지한 즉시 영문 통지가 이뤄졌지만, 한국어 통지는 11일 후인 23일에 이뤄진 것이다. 개인정보처리자ㆍ상거래 기업 및 법인은 5일 이내에, 정보통신서비스 제공자는 24시간 이내에 통지해야 하는 시각을 한참 넘겼다.
박영수 개인정보위 조사1과장은 “영문 통지가 이뤄진 만큼 한국어 통지를 꼭 해야하느냐는 의견도 있었다”라며 “변호사 자문 등을 거친 결과 대한민국 이용자에 대해 한국어 통지가 바람직하다는 의견이 강했고, 위반 행위로 처분했다”라고 설명했다.
마이크로소프트 관계자는 “당사가 사이버 범죄의 표적이 됐음을 인지하고, 영향을 받은 국내 고객에 대한 당시 관계기관이었던 방송통신위원회에 대한 신고를 포함한 필요한 조치를 즉각적으로 취했다”라며 “그간 개인정보보호위원회에 지속적으로 협조해왔으며, 나아가 최근 결정된 시정 사항도 성실히 이행할 것”이라고 밝혔다.
한편 개인정보위는 이날 이노베이션 아카데미와 마이크로소프트를 제외한 4개 사업자에 대한 처분도 의결했다.
카카오의 블록체인 계열사 그라운드원은 주민등록번호 2건을 포함한 2433건의 개인정보가 유출됐다. 크리덴셜 스터핑을 통해 계정을 탈취, 구글 지슈트에 문서가 유출됐다. 개인정보위는 과징금 2500만 원ㆍ 과태료 600만 원을 비롯해 개선권고, 공표 등의 처분을 내렸다.
이외에도 한국프로축구연맹에 과태료 300만 원 및 개선권고, 한국산악자전거연맹에 과태료 300만 원, 더블유엠오코리아에 과태료 300만 원을 조치했다.
그라운드X 관계자는 "내부 보안 강화 및 IP 통제 등을 즉각 취했고, 지속적인 모니터링을 통해 피해 발생 및 유사 사례 방지를 위해 조치를 마련했다"라며 "보다 강력한 내부 보안 시스템을 구축하고 임직원 대상으로 보안 교육을 완료했다"라고 말했다.