개인정보보호위원회(이하 개인정보위)는 29일 정부서울청사에서 제16회 개인정보위 전체회의를 열고 아마존클라우드서비스(AWS)를 사용하는 야놀자 등 4개 사업자의 개인정보 보호법규 위반행위에 대한 제재 처분을 결정했다고 밝혔다.
4개 사업자는 모두 AWS 관리자 접근권한(Access Key)을 IP로 제한하지 않았다. 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있었다. 결과적으로 개인정보가 유출되거나 제3자가 내용을 열람했다. 1년 이상 장기 미이용자의 개인정보를 파기하지도 않았고, 이를 다른 이용자의 개인정보와 분리해 별도로 저장·관리 조치도 하지 않았다.
이번 유출 사고는 서비스 이용 사업자가 개인정보처리시스템을 구성·운영하면서 기초적인 설정을 하지 않아 발생했다. 개인정보위는 이번 처분이 클라우드 서비스 이용 사업자가 관리자 접근권한을 제한하도록 해 외부로부터 비정상적인 접근 및 공격을 막고 개인정보의 유출을 방지할 수 있도록 유도하는 의미가 있다고 설명했다.
송상훈 개인정보위 조사조정국장은 "클라우드를 통한 개인정보 유출 방지를 위해, 서비스 제공사업자와 이용사업자가 준수해야 할 사항을 마련해 적극 홍보해 나가겠다"고 말했다.
류은주 기자 riswell@chosunbiz.com