한국맥도날드가 해킹으로 이용자 487만 명의 개인정보가 유출되도록 해 개인정보보호위원회로부터 과징금 7억 원 처분을 받았다.
개인정보위는 22일 전체회의를 열고 개인정보보호법을 위반한 6개 사업자에 대해 총 8억6276만 원과 3600만 원의 과태료를 부과하기로 결정했다.
처분 대상은 한국맥도날드, 삼성증권, 아이마켓코리아, 브리티쉬아메리칸토바코코리아, 제이제이클럽, 카라솔루션 등이다.
한국맥도날드는 이용자의 개인정보가 포함된 백업파일이 네트워크를 통해 파일 공유가 가능한 SMB 프로토콜을 통해 접속될 수 있도록 운영하는 등 접근통제를 소홀히 했다. 이로 인해 이용자 487만6106명의 개인정보가 해킹 등을 통해 유출됐다.
또 보유기간이 지난 이용자 76만6846명의 개인정보를 파기하지 않았고, 개인정보 유출신고와 유출통지를 지연한 사실도 확인돼 과징금 6억9646만 원과 과태료 1020만 원이 부과됐다.
삼성증권은 투자교육 홈페이지의 접근통제를 소홀히 해 이용자 4만8122명의 개인정보가 유출되도록 했다. 삼성증권은 웹서버 설정 오류로 인한 디렉토리 리스팅 취약점 보완 조치를 하지 않았고, 관리자 페이지 접근 시 인증절차를 누락한 것으로 조사됐다. 최소 1년 이상 보존, 관리해야 하는 개인정보처리시스템의 접속기록을 한 달여 간만 보관된 사실도 확인돼 과징금 9800만 원과 과태료 360만 원이 부과됐다.
아이마켓 코리아는 4894명의 개인정보 유출로 과징금 1895만 원, 과태료 300만 원 부과 처분을 받았다. 브리티쉬아메리칸토바코코리아는 1540명의 개인정보를 유출되도록 해 과징금 3378만 원, 과태료 720만 원이 부과됐다. 개인정보위는 제이제이클럽에 과징금 1179만 원, 카라솔루션에 과징금 378만 원과 과태료 1200만 원 처분을 했다.
진성철 개인정보위 조사2과장은 “이용자의 개인정보를 처리하는 사업자는 언제든지 해킹 공격 및 시스템 오류 등으로 개인정보 유출 피해가 발생할 수 있다는 점을 인식해 접근통제 등 안전조치 관련 의무사항을 상시 점검하고, 유출 사고가 일어났을 때는 신고 및 통지를 신속·적법하게 이행해야 한다”고 강조했다.