[디지털데일리 이종현기자] 네이처리퍼블릭, 에스디생명공학, 테슬라코리아, 씨트립코리아 등 4개 사업자와 30개 지방자치단체가 개인정보보호 법규 위반 시정명령을 받았다.
27일 개인정보보호위원회(이하 개인정보위)는 제2회 위원회 회의를 개최해 개인정보보호법을 위반한 4개 사업자 및 30개 지방자치단체에 대한 시정조치를 권고했다.
◆네이처리퍼블릭, 해킹으로 개인정보 14만건 유출=30개 지자체와 함께 시정조치를 받은 4개 사업자에게는 과징금 2970만원, 과태료 3300만원 등 총 6270만원이 부과됐다. 이중 네이처리퍼블릭과 에스디생명공학에게 부과된 과징금·과태료가 5270만원으로 대부분을 차지한다.
네이처리퍼블릭은 지난해 1월 해킹으로 개인정보가 유출됐다. 당시 신원 미상의 해커가 SQL 삽입 공격으로 관리자 페이지에 로그인해 고객의 개인정보를 유출했다. 유출된 정보는 아이디, 이메일, 이름, 휴대전화번호, 생년월일, 주소 등이며 피해 규모는 14만건에 달한다.
네이처리퍼블릭의 위반 내용은 개인정보 보호조치 위반이다. 개인정보처리시스템에 대한 접근통제, 암호화 등 기술적 조치가 미흡했던 것이 높은 과징금·과태료가 부과된 원인으로 보인다. 피해 규모도 가장 크다.
에스디생명공학의 사례도 네이처리퍼블릭과 유사하다. 해커에 의한 쇼핑몰 침입이 발생했고 그로 인해 회원정보 1만4000여건이 유출됐다.
네이처리퍼블릭에 비해 피해 규모는 적지만 개인정보 유출통지를 하지 않았기에 과태료 500만원이 더해졌다. 개인정보 보호조치 위반으로 과징금 850만원, 과태료 800만원에 더해 유출통지 위반으로 과태료 500만원, 총 2150만원이 부과됐다. 네이처리퍼블릭은 지난해 1월 15일~16일 해킹 발생 이후 23일 피해 사실을 안내한 바 있다.
테슬라코리아와 씨트립코리아는 해킹이 아닌 직원의 실수로 인해 개인정보가 유출됐다.
테슬라코리아는 담당자가 전기차 보조금 안내 시 실수로 이메일을 동봉 발신해 전체 수신에 이메일 주소를 유출한 건이다. 피해 규모는 500여건이다. 개인정보 유출통지 위반으로 500만원의 과태료 처분을 받았다.
씨트립코리아는 담당자가 이용자의 항공권을 환불처리 중 실수로 회사 이메일 주소가 아닌 다른 이용자의 이메일 주소를 안내함으로써 고객의 이메일 주소를 유출한 건이다. 피해자는 1명이나 테슬라와 같은 500만원의 과태료가 부과됐다. 자체 신고가 아닌 국민신문고 민원을 통해 접수된 데 더해 유출 사실을 지연 통지했기 때문으로 추정된다.
◆안전조치 의무 불이행 지자체 30개··· 12개 지자체엔 징계권고=지방자치단체에 대한 이번 시정조치는 2019년 개인정보 관리수준진단 점검 결과 보호 수준이 미흡한 지자체 30개 기관을 대상으로 지난해 5월부터 7월까지 현장 실태점검을 한 내용이다.
개인정보보호 법규를 위반한 지자체는 강남구, 금천구, 성동구, 중구 등 서울시 4개 구를 비롯해 ▲대전광역시 ▲강원도 ▲경상북도 ▲계룡시 ▲안산시 ▲오산시 ▲영천시 ▲영주시 ▲삼척시 ▲동두천시 등 30개다. 총 47건의 시종조치가 권고됐다.
위반 사항은 개인정보처리 시스템 접속기록 미보관이 27개 기관으로 다수를 이뤘다. 이밖에 개인정보 취급자간 계정 무단 공유 19개 기관, 주민등록번호 암호화 미조치 1개 기관, 업무처리 목적 달성 이후 개인정보 미파기 1개 기관 등이다.
이중 서울시 중구, 강원도, 경상북도, 계룡시, 동두천시, 삼척시, 성동구, 성주군, 오산시, 옹진군, 청도군, 칠곡군 등 12개 기관은 시정조치와 징계권고를 함께 받았다.
이번 조치는 지난해 8월 개인정보위 출범 이후 공공기관을 대상으로 하는 첫 제재 사례다. 개인정보위는 이번 시정조치와 함께 개인정보 관리수준 미흡 기관에 대한 컨설팅과 교육을 병행할 방침이다. 미흡 기관 개인정보보호 담당자와 취급자를 대상으로 개인정보의 안전조치 등에 대한 컨설팅과 역할별·수준별 교육을 주기적으로 진행한다는 계획이다.
윤종인 개인정보위원장은 “국민의 개인정보를 수집·처리하는 지자체들에 대한 실태점검과 컨설팅을 지속적으로 실시해 지자체가 책임감을 갖고 개인정보를 보호하도록 하겠다”고 말했다.