개인정보보호위원회가 어제(26일) 제11회 전체회의를 열고, 개인정보 안전조치를 소홀히 한 호텔스컴바인과 머니투데이방송에 대해 개인정보보호 법규를 위반한 혐의로 과징금 및 과태료를 부과하기로 의결했다고 밝혔다.

호텔스컴바인의 경우 2013년 호텔 예약플랫폼 개발 당시 예약정보만 조회 가능한 접근 권한만으로 예약정보와 카드정보까지 조회 가능한 계정을 별도의 확인이나 승인 절차 없이 추가로 생성할 수 있도록 시스템을 잘못 설계한 것으로 드러났다.

이에 해커가 피싱 수법으로 아이디와 비밀번호를 탈취해 시스템에 접속하여 카드정보까지 접근할 수 있는 계정을 생성하게 되었고, 그 결과 한국 이용자 1,246명의 개인정보가 유출됐다. 아울러 해당 사업자는 유출 통지 및 신고를 뒤늦게 한 사실도 확인됐다.

▲호텔스컴바인의 개인정보 유출 과정 / 자료제공=개인정보보호위원회

이에 대해 개인정보위는 호텔스컴바인에 9,450만 원의 과징금과 1,600만 원의 과태료를 부과했다.

머니투데이방송의 경우 2022년 9월 운영 중이던 광고 공모전 사이트가 해커의 에스큐엘 주입(SQL 인젝션) 공격을 받아 관리자 계정 및 회원 개인정보 13만 3633건이 유출됐다.

해당 사업자는 에스큐엘 주입(SQL 인젝션) 공격 방지를 위한 입력값 검증 등의 조치를 일부 누락하고, 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않은 것으로 밝혀졌다. 아울러 탈퇴한 회원의 정보를 파기하지 않고 보관한 사실과 개인정보 유출 통지를 지연한 사실도 확인됐다.

이에 대해 개인정보위는 머니투데이방송에 6,778만 원의 과징금과 1,140만 원의 과태료를 부과했다.
또한 개인정보위는 이 같은 양사의 처분 결과를 위원회 홈페이지에 공표하기로 결정했다.

 

[경제엔=온라인팀]