[디지털데일리 김보민기자] 한화호텔앤드리조트가 시스템 개발 과실로 예약 정보 1800여건이 조회되는 오류를 내, 1억원이 넘는 과징금을 부과 받았다. 개인정보 안전조치 의무를 위반한 현대자동차(이하 현대차)와 띵스플로우에게도 처분이 내려졌다.

개인정보보호위원회(이하 개인정보위)는 개인정보보호 법규를 위반한 한화호텔앤드리조트를 대상으로 과징금 1억8531만원과 과태료 300만원을 부과했다고 29일 밝혔다.

한화호텔앤드리조트는 온라인 회원도 쿠폰을 사용한 숙박 예약을 할 수 있는 이벤트를 진행하며 예약 절차를 변경했다. 그러나 이 과정에서 시스템 개발 과실 및 사전 검증을 소홀히 해, 회원이 쿠폰을 사용해 예약을 진행할 때 다른 사람의 정보가 최대 1818건 조회되는 오류가 발생했다.

개인정보위는 로그인 절차를 변경하면서 타인의 개인정보 조회 가능성을 검증하지 않아 안전조치 의무 위반이 있다고 판단했다.

현대차에 대해서는 과징금 329만원과 과태료 900만원을 부과했다. 현대차는 신차 시승 이벤트를 하면서, 선택사항인 '마케팅 활용 등 홍보 목적의 개인정보 수집'에 동의하지 않은 고객에게 시승 서비스 제공을 거부했다.

또한 고객 지원 앱 '마이현대' 운영에 사용되는 상용 소프트웨어의 보안 패치를 즉시 적용하지 않아, 다른 사람의 개인정보가 이용자에 노출됐고 신고 및 통지를 지연한 사실도 확인됐다.

띵스플로우에 대해서는 과징금 2732만원과 과태료 360만원을 보과했다. 띵스플로우가 합병한 ㈜비트윈어스는 커플 대상 사회관계망(SNS) 서비스 '비트윈'을 운영하는 사업자로, 만 14세 미만 아동 3만8633명의 개인정보를 법정대리인 동의 없이 수집했다.

또한 개인정보취급자가 개인정보처리시스템에 접속한 기록을 보존 및 관리하지 않았고, 개인정보 열람 요구에 대해 기간(10일) 내 답변하지 않은 사실이 있었다. 개인정보위는 이번 처분 결과를 위원회 홈페이지에 공표할 예정이다.

개인정보를 수집 및 처리하는 모든 사업자는 개인정보처리자로서, 홈페이지를 포함한 개인정보처리시스템의 운영 환경과 취약점을 점검하고 개선해야 한다. 만 14세 미만 아동의 개인정보를 수집할 때는 법정대리인 동의를 받아야 하고, 마케팅 활용 등 홍보를 위한 개인정보 수집·이용에 동의하지 않았다는 이유로 재화나 서비스 제공을 거부해서는 안 된다.