안전조치 의무 위반 사업자 제재, 과징금 및 과태료 부과 의결
2차 인증수단, 침입탐지·차단시스템 등 해킹 예방에 소홀
개인정보보호위원회는 13일 제5회 전체회의를 열고, 개인정보보호 법규를 위반한 참좋은여행, 루안코리아 및 디에이치인터내셔널에 대해 총 3억 3907만 원의 과징금과 1800만 원의 과태료를 부과하기로 의결했다.
이들 3개 업체는 모두 침입탐지시스템을 운영하지 않거나 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속 시 2차 인증 등 안전한 인증수단을 적용하지 않았다.
개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는, 아이디와 비밀번호 외에도 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단 적용 필요하다.
개인정보위는 아이디와 비밀번호로만 접속할 수 있게 운영하다가 해킹으로 개인정보 유출에까지 이르게 한 책임이 있다고 밝혔다.
참좋은여행은 해커가 탈취한 내부 직원의 계정정보로 사내 시스템인 여행 주문관리시스템에 접속해 이용자의 개인정보가 유출되었으며, 이를 통해 스팸메일이 발송됐다. 외부에서 개인정보처리시스템에 접속 시 안전한 인증수단을 적용하지 않는 등(아이디와 비밀번호만으로 접속 가능) 안전조치 의무를 제대로 지키지 않은 사실이 확인돼 과징금 1억 7438만 원과 과태료 360만 원을 부과받았다.
루안코리아는 정보통신망을 통해 외부에서 데이터베이스에 접속시 아이디와 비밀번호로만 접속할 수 있도록 운영하고, 침입탐지시스템 미설치로 개인정보 유출 시도 탐지도 하지 못했다.
또 비밀번호, 주민등록번호, 계좌번호 등을 암호화하지 않고 평문으로 저장하는 등 개인정보 보호법 제29조의 안전조치 의무를 소홀히해, 해킹으로 이용자 개인정보가 탈취되도록 한 사실이 확인됐다. 루안코리아는 과징금 1억 5219만 원과 과태료 720만 원 처분을 받았다.
디에이치인터내셔널은 웹셸 공격을 통해서 해커가 개인정보를 유출하는 사건이 발생했다. 웹셸이란 업로드 취약점을 통하여 해커가 원격에서 웹서버를 조종할 수 있도록 작성한 웹 스크립트를 말한다.
해당 사업자는 웹셸 등 악의적인 파일이 설치되지 않도록 업로드 파일의 확장자 제한, 홈페이지 보안 취약점 점검·개선 등개인정보 보호법 제29조의 안전조치 의무를 제대로 지키지 않아 과징금 1250만 원, 과태료 720만 원이 부과됐다.