개인정보보호위원회가 개인정보 보호법 위반으로 모두투어네트워크에 대해 총 7억5720만 원의 과징금 및 과태료를 부과했다. 

개인정보위는 3월 12일 제6회 전체회의에서 이 같이 결정하고, 해당 사업자에 대한 공표 명령 및 개선 권고 조치도 함께 의결했다.

지난해 7월 모두투어네트워크의 개인정보 유출 신고에 따라 진행된 조사에서, 개인정보위는 해당 기업이 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실을 확인했다. 

조사 결과에 따르면, 신원 미상의 해커가 지난해 6월 모두투어네트워크의 웹페이지 파일 업로드 취약점을 악용하여 다수의 웹셸 파일을 업로드했다. 이를 통해 악성코드를 실행한 해커는 고객 데이터베이스(DB)에서 회원 및 비회원 306만여 명의 개인정보(이름, 생년월일, 성별, 휴대전화번호 등)를 탈취했다.

개인정보 유출사고 개요/자료제공=개인정보보호위원회 웹셸 공격은 특정 웹사이트의 파일 업로드 기능을 이용해 악성코드를 삽입하고 실행하는 방식으로, 관리자 권한을 탈취해 개인정보를 빼내는 해킹 기법이다. 

개인정보위는 모두투어네트워크가 이를 방지하기 위해 파일 확장자 검증 및 실행권한 제한 등의 보안 조치를 강화했어야 함에도 이를 소홀히 했다고 지적했다. 또한, 해커의 접근을 탐지하고 대응하기 위한 접근 통제 조치도 미흡했던 것으로 드러났다.

모두투어네트워크는 2013년 3월부터 수집한 비회원 316만여 건의 개인정보를 법정 보유기간이 지나도록 파기하지 않고 보관해온 것으로 밝혀졌다. 이에 따라 대규모 개인정보 유출 피해를 초래한 것으로 분석된다. 더욱이 지난해 7월 개인정보 유출 사실을 인지하고도 정당한 사유 없이 2개월이 지난 9월에야 피해자들에게 유출 사실을 통지한 점도 문제가 됐다. 

현행 개인정보 보호법에 따르면, 기업은 개인정보 유출 사실을 인지한 후 72시간 내에 피해자에게 통지해야 한다.

이러한 법 위반 사항을 근거로, 개인정보위는 모두투어네트워크에 7억4700만 원의 과징금과 1020만 원의 과태료를 부과했다. 

이와 함께 모두투어네트워크가 자사 홈페이지에 이번 처분 사실을 공표하도록 명령하고, 향후 유출통지 지연 등의 재발 방지를 위한 내부 개인정보 보호 관리체계 개선을 요구했다.

개인정보위는 이번 사례에서 드러난 웹셸 공격이 널리 알려진 해킹 방식이지만, 데이터베이스에 직접 접근할 수 있어 피해 규모가 클 수 있다고 경고했다. 이에 따라 기업들은 개인정보 유출 위험을 사전에 탐지하고 차단할 수 있도록 보안 정책을 강화하고, 파일 업로드 취약점을 면밀히 점검해야 한다고 강조했다.

아울러 대규모 개인정보를 처리하는 사업자는 보유기간이 경과하거나 처리 목적이 달성된 개인정보를 신속히 파기함으로써 유출 피해 규모를 최소화해야 하며, 개인정보 유출 사실이 있을 경우 신속히 통지하여 정보 주체의 2차 피해를 방지할 수 있도록 내부 보호 체계를 정비해야 한다고 당부했다.

[경제엔미디어=장민철 기자]