해킹·업무상 과실이 원인
해킹과 업무 담당자의 실수로 개인정보를 유출한 16개 사업자가 무더기로 과징금·과태료 처분을 받았다. 일부 사업자는 개인정보가 유출된 사실을 알고도 즉시 피해자들에게 통지하지 않았다.
23일 개인정보보호위원회는 정부서울청사에서 제5회 전체회의를 열어 개인정보보호법을 위반한 16개 사업자에 총 2370만원의 과징금, 9200만원의 과태료를 부과했다.
이번 처분 건은 모두 사업자들이 한국인터넷진흥원(KISA)에 유출 사실을 신고함에 따라 진행됐다.
개인정보위 조사 결과 해킹(12건)과 업무상 과실(4건)이 유출 원인이었다.
캔바 등 4개 사업자는 아마존 클라우드서비스(AWS)를 이용하면서 안전한 인증수단을 적용하지 않아 해커에게 관리자 접근권한(액세스 키)을 탈취당했다. 이로 인해 캔바 23만6775건, 징가 1만3057건, 플루크 2230건, 하우빌드 3771건의 이름과 연락처 등 개인정보가 각각 유출됐다.
SK하이닉스 등 5개 사업자의 개인정보 유출은 에스큐엘(SQL) 인젝션, 웹셀 공격, 무작위 대입 해킹 공격인 것으로 확인됐다.
이로 인해 한국화재연구소는 427건, 넬슨스포츠는 2696건, 아시아나항공은 198건, SK하이닉스는 2207건, 성보공업은 276건의 개인정보가 유출됐다.
강원도의사회 등 4개 사업자는 업무상 실수로 개인정보가 외부에 공개되거나 내부 직원들에게 개인정보가 잘못 전달된 사건이다.
강원도의사회는 홈페이지 유지보수 업체가 실수로 다른 사이트(경상남도의사회)에 강원도의사회 선거인 명부(3320명)를 게시했다.
한국투자신탁운용은 웹페이지 개발 실수로 접근 통제가 이루어지지 않아 온라인 토론회(세미나) 참가 신청자명단(2932명)이 인터넷에서 검색됐다.
스태츠칩팩코리아와 제이셋스태츠칩팩코리아는 담당 직원이 교육 안내 메일을 보내면서 실수로 인사정보 파일을 잘못 첨부했다.
특히 탈취당한 개인정보 중 일부는 다크웹 등에 게시되거나, 광고성 스팸 메일 등에 이용됐다. 주민등록번호가 유출되거나 잘못 처리한 사례도 확인됐다. 그러나 일부 사업자들은 유출통지도 하지 않았다. 성보공업과 ㈜잇올의 유출된 개인정보는 텔레그램에, 한국화재연구소, 휘닉스중앙, 하우빌드의 유출 정보는 다크웹에 게시됐다.
넬슨스포츠는 해커가 관리자의 메일발송 권한을 이용해 회원들에게 광고성 메일을 보냈다. 디지틀조선일보에서는 유학상담을 접수한 일부 학부모들에게 보이스피싱 메일이 보내졌다.
양청삼 개인정보위 조사조정국장은 "개인정보 유출사고 이후에 피해가 확산되지 않도록 피해자들에게 알리는 것도 중요하다. 사업자들은 피해자들이 더 큰 피해를 당하지 않도록 즉시 유출 통지를 해야 한다"고 말했다.
정상균 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지