[디지털데일리 이종현기자] 삼성전자, LG헬로비전, 삼쩜삼, 타오월드 등 4개 사업자가 개인정보보호법을 위반해 제재를 받았다. 총 과징금·과태료의 합은 29억2681만원이다. 가장 높은 과징금을 부과받은 것은 LG헬로비전이다.

28일 개인정보보호위원회(이하 개인정보위)는 제11회 전체회의를 개최해 개인정보보호 법규를 위반한 사업자들에 대한 과징금 및 과태료 부과를 의결했다.

LG헬로비전은 홈페이지를 운영하면서 안전조치의무를 소홀히 해 개인정보가 유출됐다. 1:1 상담문의 게시판을 운영하면서 침입차단·탐지시스템 운영을 하지 않았고, 웹 치약점에 대해서도 조치하지 않아 해커 공격으로 4만6134명의 정보가 유출된 건이다.

또 초고속인터넷, 케이블TV 등 서비스 제공과 관련된 홈페이지를 운영하면서 소프트웨어(SW) 개발 기업이 공개한 세션 보안 취약점, 최신화 조치를 하지 않아 세션 오류로 개인정보가 유출되기도 했다. 이렇게 유출된 개인정보에 대해 유출신고 및 통지도 지연했다. 이에 LG헬로비전은 과징금 11억3179만원, 과태료 1740만원을 부과받았다.

삼성전자는 2020년1월부터 2021년 5월까지 총 6건의 유출신고에 대해 조사했고, 2건의 경우 개인정보보호법 위반으로 보기 어려워 종결한 뒤 4건에 대해 심의·의결했다.

삼성계정 시스템의 데이터베이스(DB)를 변경하면서 제품별 데이터 처리 방식의 차이를 고려하지 않아 시스템 오류가 발생해 개인정보가, 또 삼성클라우드 서비스에 대한 2번의 공격으로 76개 계정의 이미지와 동영상 등이 유출됐다. 삼성닷컴 온라인스토어 시스템의 개발 오류로 타인의 배송정보를 조회하게 돼 개인정보가 유출되기도 했다.

총 4건의 유출신고에서 발생한 피해자의 수는 500명 안팎이지만 유출이 연속적으로 이뤄졌다. 개인정보위는 개인정보보호보호법상 안전조치의무 이행 미흡으로 과징금 8억7558만원과 과태료 1400만원, 그리고 전반적 보호체계 점검·개선 등 시정조치를 명령했다.

세금 환급 서비스 삼쩜삼을 제공하는 자비스앤빌런즈도 제재 목록에 올랐다. 삼쩜삼은 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인 및 소득 관련 정보의 수집, 세무대리인 수임 동의, 환급신고 등을 대행했는데, 법령에 근거 없이 주민등록번호를 수집·보관한 것이 도마 위에 올랐다.

개인정보위는 주민등록번호가 포함된 신고·신청을 대행하는 사업자가 법령에 따라 주민등록번호 처리 권한을 기 보유한 행정기관에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우에는 개인정보봏고법상 제한된 행위로 보지 않는다며 시정조치 명령 후 향후 이행 여부를 확인하기로 했다.

이와 별개로 삼쩜삼이 소득정보 등 개인정보를 수집하는 과정에서 처리방침을 통해 포괄 동의를 받으면서 수집 항목을 누락하고 수집 목적·보유기간 등을 불명확하게 고지한 것, 또 민감정보인 건강정보에 대한 별도 동의를 받지 않은 것, 추가 검토가 필요한 경우 세무대리인이 대신 신고토록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않은 사실 등에 과징금 8억5410만원, 과태료 1200만원이 부과됐다.

이와 함께 침입차단시스템의 도입·운영과 취약점 점검 등을 소홀히해 해커에게 1만3470명의 이용자 정보를 탈취당한 타오월드도 제재받았다. 타오월드는 민감정보에 해당하는 건강 관련 정보를 구체적 안내나 별도 동의 없이 수집·보관한 사실도 드러났다. 과징금 1054만원과 과태료 1140만원을 부과받았다.