개인정보 보호 안전조치 의무를 위반, 약 12만명의 정보를 유출한 온라인 쇼핑몰에 4억원의 과징금이 부과됐다.

개인정보보호위원회(개인정보위)는 8일 제4회 전체회의를 열고 개인정보보호 법규를 위반한 에스엘바이오텍 등 4개 사업자에 대해 총 4억8342만원의 과징금과 3480만원의 과태료를 부과하기로 결정했다.

에스엘바이오텍은 건강기능식품 온라인 쇼핑몰을 운영하면서 개인정보처리 시스템에 대한 접근 권한을 제한하지 않고 악성파일이 업로드돼 실행되도록 하는 등 접근 통제를 소홀히 했다. 이로 인해 이용자 75명의 신용카드 결제 정보를 포함, 11만9756명의 개인정보가 유출됐다. 유출신고와 유출통지를 지연한 사실도 확인돼 과징금 4억6457만원과 과태료 720만원이 부과됐다.

또 다른 온라인쇼핑몰 업체 티앤케이팩토리도 접근 통제를 소홀히해 악성코드가 올라가도록 했다. 이용자 1만6702명의 개인정보가 유출됐으나 개별 유출통지를 하지 않았다. 과징금 1138만원과 과태료 960만원이 부과됐다.

온라인 교육 서비스 케이지에듀원은 494명의 주민등록번호를 법적 근거 없이 처리했다. 개인정보 처리 시스템에 대한 디렉토리 리스팅(특정 폴더를 웹 브라우저에서 열람하면 해당 폴더 내 목록과 파일이 조회될 수 있도록 하는 옵션) 차단 설정을 누락, 신분증 1136건이 검색엔진에 노출되도록 했다. 과징금 747만원과 과태료 1080만원이 부과됐다.

온라인 피자 배달 서비스 청오디피케이는 전자우편 유효성을 검증하지 않아 문제가 됐다. 간편인증 가입회원과 기존회원이 전자우편 주소만 일치하는 경우에도 동일 회원으로 식별되도록 인증 로직을 잘못 설정하여 이용자 1명의 개인정보가 유출됐다. 유출 신고와 통지를 지연해 과태료 720만원이 부과됐다.

진성철 개인정보위 조사2과장은 “해커가 온라인 사이트의 파일 업로드 취약점을 이용하여 악성코드를 업로드 후 실행함으로써 관리자 권한을 획득하는 공격 방법(웹셸 공격)을 통해 신용카드 결제 정보를 유출해 간 사례가 발생해 주의가 요구된다”며 “온라인 사이트 운영자들은 게시판에 확장자가 PHP, JSP, ASP 등인 파일이 업로드 되지 않도록 첨부파일 기능을 제한하고 실행권한을 제거하는 등 홈페이지 취약점을 개선해야 한다”고 당부했다.

이소연 기자 soyeon@kukinews.com