[아이뉴스24 양태훈기자] 방성통신위원회가 개인정보를 유출한 위드이노베이션에 과징금 3억100만원, 과태료 2천500만원, 책임자 징계권고 등의 행정처분을 내렸다.
8일 방통위는 정부과천청사에서 제30차 전체회의를 열고, 숙박앱 '여기어때' 위드이노베이션에 과징금 3억100만원을 부과하는 제재를 의결했다.
아울러 과태료 2천500만원과 책임자 징계권고, 위반행위 중지 및 재발방지대책 수립 시정명령·시정명령 처분사실 공표 등 행정처분을 결정했다.
방통위는 사업자의 유출신고를 받아 지난 3월 23일부터 과학기술정보통신부, 경찰청, 한국인터넷진흥원(KISA)등과 현장조사를 실시해왔다.
현장조사 결과, '여기어때 마케팅센터 웹페이지'의 취약점을 이용한 해커의 'SQL인젝션' 공격을 확인, 이를 통해 해커가 개인정보를 탈취한 사실을 확인했다.
해커에게 유출된 개인정보는 '여기어때' 서비스 이용자의 숙박예약정보 323만9천210건과 회원정보 17만8천625건(이용자 기준 중복제거 시 총 97만1천877명)으로 파악된다. 이 중 유출된 숙박이용내역을 악용한 음란문자도 4천817건이나 발송된 것으로 나타났다.
특히, 위드이노베이션은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'에서 정한 ▲접근통제 ▲접속기록 보존 ▲암호화 ▲유효기간제 등의 개인정보 보호조치 규정 다수를 위반한 것으로 조사됐다.
구체적으로 위드이노베이션은 개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무 망으로 분리하지 않았고, 적절한 규모의 침입차단·탐지시스템 설치를 통한 불법적인 개인정보 유출 시도 탐지에도 나서지 않은 것으로 나타났다.
또 해킹을 당한 마케팅센터 웹페이지에 대한 취약점 점검을 수행하지 않고, 고객 상담사 등에게 파일 다운로드 권한이 있는 관리자페이지 접근권한을 과도하게 부여, 인사이동 시 취급자의 접근권한도 변경하지 않아 정보통신망법 제28조 제1항에 따른 접근통제 조치 전반을 소홀히 한 점이 확인됐다.
방통위는 보호조치 규정 미준수로 발생한 취약점이 해킹에 직간접적으로 악용, 또 피해규모가 크고 유출된 개인정보를 활용한 문자발송 등의 이용자 추가 피해가 확인된 점 등을 종합적으로 고려해 위드이노베이션의 위반행위를 '매우 중대한 위반행위'로 판단해 과징금을 부과했다.
아울러 정보통신망법 개정(2016년 3월 22일)에 따라 도입된 '책임자 징계권고'를 개인정보 유출사고 최초로 적용, 위드이노베이션 대표자 및 책임 있는 임원에 대해 징계를 권고하고 그 결과를 방통위에 통보할 것도 의결했다.
이효성 방통위원장은 "O2O서비스의 경우, 사생활과 관련된 민감정보를 수집·이용하는 경우가 많으므로 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안투자나 개인정보 보호를 위한 노력을 병행하길 바란다"고 강조, "방통위도 취약분야에 대한 사전점검 및 위반업체에 대한 보다 엄정한 제재를 통해 이용자 피해를 줄여 나가도록 노력하겠다"고 강조했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기