개인정보보호위원회(이하 개인정보위)는 29일 정부서울청사에서 제16회 개인정보위 전체회의를 열고 아마존클라우드서비스(AWS)를 사용하는 야놀자 등 4개 사업자의 개인정보 보호법규 위반행위에 대한 제재 처분을 결정했다고 밝혔다.

윤정태 조사2과장이 정부서울청사에서 개최된 브리핑을 통해 개인정보 보호 법규를 위반한 4개 사업자에 대한 시정조치 사항을 설명하고 있다. / 개인정보위
윤정태 조사2과장이 정부서울청사에서 개최된 브리핑을 통해 개인정보 보호 법규를 위반한 4개 사업자에 대한 시정조치 사항을 설명하고 있다. / 개인정보위
이날 위원회에서는 개인정보 보호조치 미흡으로 개인정보가 유출된 야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩 등 4개 사업자 관련 내용을 다뤘다. 위원회는 구 정보통신망법 위반행위에 대해 총 1억8530만원의 과징금과 8300만원의 과태료 부과, 시정명령, 공표 등 조치를 내렸다.

4개 사업자는 모두 AWS 관리자 접근권한(Access Key)을 IP로 제한하지 않았다. 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있었다. 결과적으로 개인정보가 유출되거나 제3자가 내용을 열람했다. 1년 이상 장기 미이용자의 개인정보를 파기하지도 않았고, 이를 다른 이용자의 개인정보와 분리해 별도로 저장·관리 조치도 하지 않았다.

사업자별 개인정보 유출 및 열람 규모(위쪽)와 위반사항에 대한 행정처분 / 개인정보위
사업자별 개인정보 유출 및 열람 규모(위쪽)와 위반사항에 대한 행정처분 / 개인정보위
개인정보위에 따르면, 스퀘어랩의 경우 해커가 다크웹에 개인정보를 업로드 했고 이와 관련한 민원이 있었다.

이번 유출 사고는 서비스 이용 사업자가 개인정보처리시스템을 구성·운영하면서 기초적인 설정을 하지 않아 발생했다. 개인정보위는 이번 처분이 클라우드 서비스 이용 사업자가 관리자 접근권한을 제한하도록 해 외부로부터 비정상적인 접근 및 공격을 막고 개인정보의 유출을 방지할 수 있도록 유도하는 의미가 있다고 설명했다.

송상훈 개인정보위 조사조정국장은 "클라우드를 통한 개인정보 유출 방지를 위해, 서비스 제공사업자와 이용사업자가 준수해야 할 사항을 마련해 적극 홍보해 나가겠다"고 말했다.

류은주 기자 riswell@chosunbiz.com


키워드