개인정보 유출 보람상조에 과징금·과태료 5억5000만원

정보시스템 위수탁 계열사서 해킹사고
고객 이름·전화번호·이메일 등 2만8000여건 유출
과징금 5억4250만원·과태료 1140만원 부과

가입자의 이름, 전화번호, 이메일 등의 유출 사고가 발생한 보람상조 계열사들이 총 5억5000여만원 상당의 과징금 및 과태료 처분을 받았다.

개인정보보호위원회는 전날 제9회 전체회의를 열고 개인정보 보호법을 위반한 보람상조개발 등 보람그룹 계열 7개 사업자에 대해 총 5억4250만원의 과징금과 과태료 1140만원을 부과하고 시정 및 공표 명령을 의결했다고 14일 밝혔다.

개인정보보호위원회 로고. 개인정보보호위원회

과징금 및 과태료 대상에 오른 보람그룹 계열사는 보람상조개발을 포함해 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스 등이다. 개인정보위는 보람상조개발에 안전조치 의무 위반 등으로 과징금 5억3100만원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1140만원을 부과했다. 계열사들에는 수탁자에 대한 관리·감독 책임을 물어 총 1150만원의 과징금을 부과하고 처분 내용을 홈페이지에 공표하도록 명령했다. 아울러 그룹 차원의 전반적 개인정보 처리 현황 점검·정비와 의사결정 체계 정비, 위수탁 관계 투명성 확보 등을 내용으로 하는 시정조치 명령도 내렸다.

개인정보위는 2024년 5월28일 보람상조개발로부터 개인정보 유출 신고를 접수해 조사에 나섰다. 이후 안전조치 의무 위반과 수탁자에 대한 관리감독 소홀 등의 법 위반 사실을 확인했다.

보람상조개발은 보람상조리더 등 그룹 내 6개 계열사로부터 온라인 고객 상담과 같은 고객관계관리(CRM) 업무를 위탁받아 홈페이지를 통해 수집된 개인정보를 관리하는 데이터베이스(DB)를 운영해왔다. 개인정보위의 조사에 따르면 보람상조개발은 개인정보 관리 시스템에 대한 안전성 조치를 소홀히 했다. 위탁사인 6개 계열사 역시 개인정보 처리를 위탁한 주체로서 보람상조개발이 정보를 안전하게 관리하도록 감독해야 했지만, 이를 충분히 하지 않았다.

해커는 홈페이지의 취약점을 이용한 SQL 인젝션 공격을 통해 보람상조개발의 DB에 침입, 이름·휴대전화 번호·이메일 등 고객 개인정보를 탈취했다. SQL 인젝션 공격은 웹 애플리케이션의 보안 취약점을 악용, SQL 구문을 입력해 DB를 조작하거나 정보를 탈취하는 해킹 기법이다. SQL은 DB의 내용을 조회하는 데 사용된다.

유출된 개인정보의 수는 총 2만7882건에 달한다. 홈페이지 가입 회원 976명과 구(재향) 홈페이지 회원 1만2950명의 아이디, 비밀번호, 이름, 휴대폰번호, 생년월일, 성별, 이메일 등이 유출됐고, 온라인 상담 회원 1만3927명의 이름, 휴대폰번호, 이메일 등 정보도 새나갔다.

보람상조개발이 유출 사실을 인지한 후 법정 기한을 넘겨 정보주체에 통지한 사실과 보유 기간이 경과한 개인정보를 파기하지 않고 계속해서 보관한 사실도 확인됐다.

개인정보위 관계자는 "이번 처분은 계열회사 등 다수 기업이 관련되는 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 발생할 수 있는 보안 사각지대를 경고했다는 데 의의가 있다"면서 "위수탁을 통해 개인정보를 통합 처리하는 경우 처리 체계의 투명성 확보가 중요하며, 위탁자는 수탁자의 개인정보 처리 현황과 보호 조치 등을 관리·감독할 책임이 있다는 점을 명확히 했다"고 강조했다.

한편, 개인정보위는 지난 1월부터 상조 분야 전반에 대해 개인정보 처리실태 점검과 관행 개선을 위한 사전 실태점검을 진행 중이다.

이명환 기자 lifehwan@asiae.co.kr