[디지털데일리 김보민기자] 회원 135만명의 개인정보가 노출된 한국사회복지협의회에게 4억원대 과징금이 부과됐다.

개인정보보호위원회(이하 개인정보위)는 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 한국사회복지협의회에 제재를 의결했다고 26일 밝혔다. 세부적으로 4억8300만원의 과징금과 개선권고를 부과했다.

개인정보위 설명에 따르면 올 1월 협의회가 운영하는 '사회복지 자원봉사 정보관리시스템(VMS)' 홈페이지 비밀번호 변경 기능에 취약점이 발견됐고, 이로 인해 해커가 홈페이지 데이터베이스(DB)에 부관된 회원 약 135만명의 개인정보를 열람 및 유출하는 사고가 발생했다.

노출된 개인정보에는 아이디, 이름, 이메일, 생년월일, 성별, 주소, 연락처, 직업, 학교 정보, 학력, 자격면허 보유 여부 등 약 1300만 건이 포함됐다.

협의회는 비밀번호와 같은 주요 데이터를 변경하는 기능을 구현하면서, 변경 요청자와 대상자 일치 여부를 확인하지 않은 것으로 나타났다. 제3자가 비밀번호를 변경할 수 있는 취약점이 발생하는 등 소스코드에 대한 점검을 소홀히 한 것이다.

또한 해커가 아이디 존재 여부 확인, 패스워드 일괄 변경, 개인정보 조회 등을 위해 시스템 홈페이지에 2000만회 이상 접속했지만 개인정보 유출 시도를 탐지하거나 차단하지 못한 사실도 확인됐다.

아울러 협의회는 정보주체가 주민등록번호를 입력해야만 회원가입이 가능하도록 시스템 홈페이지를 운영하면서, 이를 대체할 수 있는 수단을 제공하지 않았다.

개인정보위는 개인정보보호법 제29조 안전조치의무 위반으로 과징금을 부과했고, 시스템 홈페이지 전반에 걸친 개인정보보호 실태 점검 및 개선과 정기적 교육 실시를 개선권고했다. 유출에 책임이 있는 자에 대한 징계를 권고하는 한편, 처분을 받은 사실을 2일 이상 5일 미만 기간 동안 기관 홈페이지 등에 공표하도록 명령했다.

주민등록번호 대체 수단을 제공하지 않은 행위에 대해서는 과태료 540만원이 부과됐다.

한편 개인정보위는 개인정보보호 법규를 위반한 ㈜테크랩스에도 과징금 2억2400만원을 부과했다. 이 밖에도 테크랩스를 경찰에 고발하고, 처분 등을 받은 사실을 2일 이상 5일 미만 기간 동안 홈페이지에 공표하도록 명령했다.

테크랩스는 국내와 대만 이용자를 대상으로 3개의 데이팅 앱 서비스를 운영하는 기업이다. 대표 서비스로는 아만다, 너랑나랑, 연권이 있다.

개인정보위에 따르면 테크랩스는 자사 데이팅 앱 서비스에 가입된 회원 프로필 사진을 이용해 다른 국가에서 운영하는 자사의 또 다른 서비스에서 허위 계정을 생성하고 직원을 동원해 활동하게 했다. 생성된 허위 계정은 2020년 10월부터 2021년 11월까지 총 276개로, 이들 중 일부 계정은 지난해 11월까지 유지돼 정상 회원과 자동 매칭됐다.