드림어스컴퍼니와 무신사 등 5개 사업자가 개인정보보호 안전조치 의무를 소홀히 해 4억여원의 과징금·과태료 처분을 받았다.

개인정보보호위원회(개인정보위)는 14일 전체회의를 열고 개인정보가 유출됐거나 개인정보 유출 신고·통지를 위반한 드림어스컴퍼니와 고시아카데미, 무신사, 빌박닷컴, 리니칼코리아 등 5개 사업자에게 총 4억2615만원의 과징금과 3620만원의 과태료를 부과하기로 결정했다.

드림어스컴퍼니는 시스템 작업 중 설정 오류로 인해 신규 가입회원의 정보와 소셜 로그인으로 신규 접속하는 회원의 정보가 테스트용 데이터베이스에 저장돼 이용자가 로그인 시 다른 이용자로 로그인되는 상황이 발생했다. 이로 인해 다른 이용자의 개인정보가 보이면서 보호법 위반사항이 확인됐다.

이날 개인정보위 회의에서는 드림어스컴퍼니의 감경비율을 두고 토론이 오갔다. 20% 감경과 50% 감경 등 2가지 안이 나왔다. 유출된 내용이 휴대전화 번호뿐이며 불특정 다수가 아닌 1명의 이용자에게만 형태로 유출됐다는 점, 유출 규모가 200여명으로 소수라는 점 등이 고려돼 50% 감경으로 결정됐다. 과징금 3억7895만원, 과태료 600만원이 부과됐다.

고시아카데미는 관리자 인증 절차를 누락한 채 시스템을 운영해 이름 등으로 회원을 검색하는 페이지에 누구나 접근 가능했고, 이에 따라 구글 검색엔진에서 회원의 정보가 검색됐다. 과징금과 과태료 등 총 5800만원을 물게 됐다.

무신사는 비회원에게도 ‘지난 배송지 목록’이 자동으로 보여지도록 잘못 설정함에 따라 비회원이 주문결제 후 배송지 변경 시 다른 회원의 배송지 정보가 열람됐다. 과태료 1080만원이 적용됐다.

과태료 660만원을 부과받은 빌박닷컴은 부동산 정보를 제공하는 누리집의 관리자페이지 접근 제한 등을 소홀히 해 해커의 공격에 의해 개인정보가 유출됐다. 정보 주체에게 유출 통지도 하지 않았다.

빌박닷컴은 등기부등본을 통해 확보한 연예인의 부동산 정보로 토대로 하는 부동산 정보제공 서비스를 준비 중, 해당 정보가 유출된 것으로 알려졌다. 회의에서는 번외로 공개된 정보를 활용, 가공하는 것에 대한 기준이 필요하다는 점도 언급됐다. 다만 이날 결정에서는 개인정보 유출 방지를 위해 노력하지 않은 점 등만이 고려됐다.

드림어스컴퍼니, 고시아카데미, 무신사 등 3개 사업자 또한 유출 사실을 인지하고도 정당한 사유 없이 24시간 경과 후 이용자에게 유출 사실을 신고하거나 통지해 법을 위반했다.

200만원의 과태료를 물게 된 리니칼코리아의 경우, 개인정보가 포함된 백업파일 보관업무를 위탁하면서 개인정보 처리 위·수탁 계약을 문서로서 체결하지 않았다. 정보 주체에게 위탁 업무 내용과 수탁자를 공개하지 않은 사실도 확인됐다.

남석 개인정보위 조사조정국장은 “시스템 관리·운영 소홀 등 내부적인 부주의로 인해 최근 개인정보가 유출되는 사고가 빈번하게 발생하고 있다”며 “개인정보를 처리하는 사업자는 개인정보 유출 사고가 일어나지 않도록 안전조치와 관련된 의무사항이 제대로 적용되었는지 상시 점검하고, 유출 사고가 일어나면 2차 피해를 방지할 수 있도록 유출신고와 유출 통지 등을 성실하게 이행하여야 한다”고 강조했다.

개인정보 처리업무를 위탁하는 경우 위탁업무의 목적 및 범위 등을 관련 법령에 따라 체결하고 정보 주체가 이를 쉽게 확인할 수 있도록 해야 한다는 점도 당부됐다.

이소연 기자 soyeon@kukinews.com