8일 방송통신위원회(이하 방통위)는 전체회의를 열고 위드이노베이션에 대해 과징금 3억100만원, 과태료 2500만원, 책임자 징계권고 등 행정처분을 의결했다. 유출된 개인정보는 숙박예약정보 323만9210건과 회원정보 17만8625건으로, 이용자 기준 중복제거 때 총 97만1877명이다. 유출된 숙박이용내역을 악용해 음란문자 4817건이 발송됐다.

이 과정에서 위드이노베이션의 개인정보보호조치 수준이 도마 위에 올랐다. 접근통제, 접속기록 보존, 암호화, 유효기간제 등 10건 이상의 개인정보 보호조치 규정을 어겼다.

이러한 문제는 위드이노베이션의 마케팅센터 웹페이지에서 비롯됐다. 해커는 상대적으로 취약한 이 웹페이지를 해킹했고, 결국 97만여명 이상의 고객정보가 유출되는 사건으로 이어졌다.

특히, 접근통제를 제대로 관리하지 못한 점이 해킹에 성공할 수 있었던 요인으로 지목된다. 위드이노베이션은 방통위 조사 결과 개인정보처리시스템 접근권한 최소부여 원칙을 위반했는데, 고객센터 상담직원 35명에게 개인정보처리시스템 파일 다운로드 권한을 부여했다. 해커는 상담사 유모씨의 권한을 도용해 직원 김모씨의 최고관리자 권한까지 접근할 수 있었다.

위드이노베이션은 취급자 인사이동 때 바로 개인정보처리시스템 접근권한을 변경해야 하는 사항을 지키지 않았다. 지난 3월3일 조직개편에 따라 195명에 대한 인사이동이 실시됐는데, 이달 20일까지 관리자페이지의 접근권한을 바꾸지 않았다. 사고를 인지한 21일 이후인 24일에서야 일괄 변경했다. 김모씨도 이중에 속한 직원이었다.

방통위 관계자는 “위드이노베이션은 제휴점 실적·정산 등의 자료 요청 때 상담사가 이를 다운로드하는 역할까지 했기 때문에 접근권한을 부여했다고 설명했으나, 방통위는 과다하다고 판단했다”며 “해커는 상담사 직원의 세션값을 탈취했는데 실제 정보를 다운로드할 때 김모씨 권한을 활용했으며, 상담사 권한을 처음에 갖지 못했다면 김모씨까지 접근하기 어려웠을 것”이라고 지적했다.

또한, 취급자는 외부에서 정보통신망을 통해 개인정보처리시스템 접속 때 아이디와 패스워드만 입력하면 됐다. 안전한 인증수단을 미적용한 것이다. 방통위는 휴대폰 인증, 일회용 OTP 등 아이디·패스워드와 함께 추가적 인증단계를 적용해야 한다고 밝혔다.

개인정보처리시스템 침입차단 및 탐지시스템 설치·운영도 소홀했다. 운영체제(OS)에서 제공하는 기본방화벽과 오픈소스(Snort)를 이용한 침입탐지 외 전문기업이 제공하는 시스템은 설치되지 않았다. 외부에서 파일 다운로드 시도 등 시스템에 접속한 IP 주소 재분석도 이뤄지지 않았다.

위드이노베이션의 지난해 매출액은 약 246억원이며, 여기어때 월이용자수는 220만명에 달한다. 이에 개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리해야 하는 의무를 갖고 있으나 이를 위반했다.

아울러, SQL 인젝션 공격 등을 방지할 수 있는 시큐어 코딩을 하지 않았고, 마케팅센터 웹페이지 취약점 점검을 수행하지 않아 결국 해커가 공격하는 길이 됐다.

이 외에도 ▲개인정보취급자의 접속기록 보관(6개월), 정기정검(월 1회 이상) 의무 위반 ▲관리자페이지 접근권한 변경이력의 관리자 비밀번호 평문 저장 ▲직원 개인용PC에 이용자개인정보(2만462건) 미암호화 저장 ▲1년간 서비스를 미이용한 이용자 개인정보(110만1528건)를 파기하거나 다른 이용자의 정보와 분리해 별도 저장·관리하지 않았다.

이에 따라 방통위는 지난해 3월 개정된 정보통신망법이 9월 시행됨에 따라 개인정보 유출사고 사상 처음으로 책임자 징계권고를 위드이노베이션에 내렸다. 대표자 및 책임 있는 임원에 대해 징계를 권고하고, 사업자는 이를 존중해 해당 결과를 방통위에 통보해야 한다.

방통위 관계자는 “지금까지는 규정이 없어 대표자나 임원 등 책임자에 대한 조치를 하지 못했었다”며 “이제 정보보호와 관련한 책임성을 강조하고자 이번에 최초로 징계권고를 내리게 됐다”고 설명했다.

<최민지 기자>cmj@ddaily.co.kr