방치된 관리자 계정으로 해킹...개인정보위, 관리 미흡한 발란에 과징금 5억원 부과
2022-08-10 17:53
방치된 관리자 계정 해킹돼 개인정보 유출...유출사실 통지도 일부 정보 누락
개인정보위, 국민대 등 6개 공공기관에도 과태료 및 시정조치 권고
개인정보위, 국민대 등 6개 공공기관에도 과태료 및 시정조치 권고
해킹을 통해 소비자 개인정보가 유출된 온라인 명품 쇼핑 플랫폼 '발란'에 개인정보보호위원회(개인정보위)가 과징금 5억1259만원과 과태료 1440만원을 부과했다.
10일 개인정보위는 전체회의를 열고 이같이 결정했다고 밝혔다. 발란은 해커의 공격으로 지난 3월과 4월 두 차례에 걸쳐 약 162만건의 고객 이름, 주소, 휴대전화번호 등 개인정보가 유출됐다. 또한 소셜 미디어 계정으로 로그인하는 기능에 오류가 발생해 다른 이용자에게 일부 회원의 개인정보가 노출되는 사고도 발생했다.
조사 결과, 발란은 사용하지 않는 관리자 계정을 삭제하지 않고 방치했으며, 개인정보처리시스템에 접근할 수 있는 인터넷주소(IP)를 관리자 PC로 제한하지 않는 등 보호조치에 미흡했다. 해커가 미사용 관리자 계정을 도용해 해킹을 시도했으며, 고객 개인정보를 유출한 것으로 밝혀졌다.
이용자에게 개인정보 유출 사실을 통지하는 과정에서도 유출된 항목과 유출 시점을 누락해 통지하는 등 개인정보 보호법을 위반한 사실도 확인됐다. 현행 개인정보 보호법에 따르면 △개인정보처리자가 개인정보 침해피해를 막기 위한 보호조치를 취해야 하며 △침해피해 발생 시 대상이 된 개인정보 항목 및 시점 등을 포함한 정보를 24시간 안에 피해자들에게 통지해야 한다.
양청삼 개인정보위 조사조정국장은 "온라인 쇼핑몰, 특히 웹호스팅 서비스를 이용하는 쇼핑몰을 겨냥한 해킹 공격이 지속적으로 발생하고 있다"며 "쇼핑몰 창업 초기에는 이용자 수 확보, 투자 유치 등 규모 확장에 집중하기 쉽지만, 이용자의 개인정보 보호에도 관심을 갖고 보안 취약점을 주기적으로 점검하는 등 보호조치 강화에도 힘써야 한다"고 강조했다.
발란은 공식 입장을 통해 "올해 초 발생한 개인정보 침해 사안과 관련해 깊은 책임을 통감하고, 개인정보위의 결정을 엄중하게 받아들인다"며 "발란은 사고 발생 직후 유출 의심 경로를 차단하고 취약점 점검을 포함한 보완조치를 완료했으며, SK쉴더스와 업무협약을 맺고 서비스 전반에 걸친 보안 컨설팅을 진행했다"고 밝혔다.
그러면서 "발란은 업계 최고 수준의 보안 전문 인력을 구성하는 등 고객 정보보호를 위한 투자를 대폭 늘렸으며, 믿고 이용할 수 있는 플랫폼이 될 수 있도록 고객 정보보호를 최우선에 둘 것"이라고 덧붙였다.
이날 개인정보위는 전체회의를 통해 개인정보보호 법규를 위반한 7개 공공기관에 대해서도 과태료 등 제재를 내렸다.
우선 국민대학교는 데이터베이스 이관 작업 시 업무상 과실로 이관 항목이 정상 지정되지 않아 개인정보가 타인에게 유출됐다. 한국조폐공사는 데이터베이스 관리시스템 변경 시 일부 설정 변경 조치를 누락해 개인정보가 유출됐다. 개인정보위는 개인정보가 유출되지 않도록 안전성 확보에 필요한 조치를 취하지 않은 국민대학교와 한국조폐공사에 과태료 300만원을 각각 부과하기로 의결했다.
한동대학교는 해킹으로 인해 개인정보가 유출됐으며, 개인정보위 조사 결과 비밀번호 함호화 등 조치를 위반해 과태료 360만원을 부과했다. 대한체육회, 국립해양생물자원관, 연수구청, 한국철도공사 4개 공공기관은 개인정보 수집·이용에 대한 명시적인 동의를 받지 않거나 외부에서 개인정보처리시스템 접속 시 2단계 인증 등 안전한 접속 수단을 적용하지 않았다. 이 밖에도 개인정보취급자의 권한 부여·변경·말소 기록을 보관하지 않고, 접속기록을 점검하지 않는 등 관리 소홀이 드러나 과태료 부과 및 시정조치를 내렸다.
10일 개인정보위는 전체회의를 열고 이같이 결정했다고 밝혔다. 발란은 해커의 공격으로 지난 3월과 4월 두 차례에 걸쳐 약 162만건의 고객 이름, 주소, 휴대전화번호 등 개인정보가 유출됐다. 또한 소셜 미디어 계정으로 로그인하는 기능에 오류가 발생해 다른 이용자에게 일부 회원의 개인정보가 노출되는 사고도 발생했다.
조사 결과, 발란은 사용하지 않는 관리자 계정을 삭제하지 않고 방치했으며, 개인정보처리시스템에 접근할 수 있는 인터넷주소(IP)를 관리자 PC로 제한하지 않는 등 보호조치에 미흡했다. 해커가 미사용 관리자 계정을 도용해 해킹을 시도했으며, 고객 개인정보를 유출한 것으로 밝혀졌다.
이용자에게 개인정보 유출 사실을 통지하는 과정에서도 유출된 항목과 유출 시점을 누락해 통지하는 등 개인정보 보호법을 위반한 사실도 확인됐다. 현행 개인정보 보호법에 따르면 △개인정보처리자가 개인정보 침해피해를 막기 위한 보호조치를 취해야 하며 △침해피해 발생 시 대상이 된 개인정보 항목 및 시점 등을 포함한 정보를 24시간 안에 피해자들에게 통지해야 한다.
양청삼 개인정보위 조사조정국장은 "온라인 쇼핑몰, 특히 웹호스팅 서비스를 이용하는 쇼핑몰을 겨냥한 해킹 공격이 지속적으로 발생하고 있다"며 "쇼핑몰 창업 초기에는 이용자 수 확보, 투자 유치 등 규모 확장에 집중하기 쉽지만, 이용자의 개인정보 보호에도 관심을 갖고 보안 취약점을 주기적으로 점검하는 등 보호조치 강화에도 힘써야 한다"고 강조했다.
발란은 공식 입장을 통해 "올해 초 발생한 개인정보 침해 사안과 관련해 깊은 책임을 통감하고, 개인정보위의 결정을 엄중하게 받아들인다"며 "발란은 사고 발생 직후 유출 의심 경로를 차단하고 취약점 점검을 포함한 보완조치를 완료했으며, SK쉴더스와 업무협약을 맺고 서비스 전반에 걸친 보안 컨설팅을 진행했다"고 밝혔다.
그러면서 "발란은 업계 최고 수준의 보안 전문 인력을 구성하는 등 고객 정보보호를 위한 투자를 대폭 늘렸으며, 믿고 이용할 수 있는 플랫폼이 될 수 있도록 고객 정보보호를 최우선에 둘 것"이라고 덧붙였다.
이날 개인정보위는 전체회의를 통해 개인정보보호 법규를 위반한 7개 공공기관에 대해서도 과태료 등 제재를 내렸다.
우선 국민대학교는 데이터베이스 이관 작업 시 업무상 과실로 이관 항목이 정상 지정되지 않아 개인정보가 타인에게 유출됐다. 한국조폐공사는 데이터베이스 관리시스템 변경 시 일부 설정 변경 조치를 누락해 개인정보가 유출됐다. 개인정보위는 개인정보가 유출되지 않도록 안전성 확보에 필요한 조치를 취하지 않은 국민대학교와 한국조폐공사에 과태료 300만원을 각각 부과하기로 의결했다.
한동대학교는 해킹으로 인해 개인정보가 유출됐으며, 개인정보위 조사 결과 비밀번호 함호화 등 조치를 위반해 과태료 360만원을 부과했다. 대한체육회, 국립해양생물자원관, 연수구청, 한국철도공사 4개 공공기관은 개인정보 수집·이용에 대한 명시적인 동의를 받지 않거나 외부에서 개인정보처리시스템 접속 시 2단계 인증 등 안전한 접속 수단을 적용하지 않았다. 이 밖에도 개인정보취급자의 권한 부여·변경·말소 기록을 보관하지 않고, 접속기록을 점검하지 않는 등 관리 소홀이 드러나 과태료 부과 및 시정조치를 내렸다.