개인정보보호위원회가 개인 정보 처리 시 안전성 확보 조치가 미흡하거나 담당자 실수로 개인 정보를 유출한 8개 사업자에 총 3320만원의 과태료를 부과했다.

개인정보보호위원회는 8일 제20회 전체회의를 열고 이같은 시정 조치를 심의 의결했다. 개인정보위가 시정조치를 의결한 주요 사례들은 다음과 같다.

박영수 개인정보보호위원회 조사1과장 / 개인정보위
박영수 개인정보보호위원회 조사1과장 / 개인정보위
청주시자원봉사센터 한 직원은 자원봉사포털에서 청주지역 자원봉사자 명단(3만1341명)을 내려받아 국회의원 선거캠프에 제공했다. 이 과정에서 개인 정보의 안전성 확보 조치를 소홀히 했고, 당사자들에게 늦게 전달 사항을 알렸다.

사단법인 정보산업연합회와 슈빅은 해킹을 당했는데, 2개사 모두 보유기간이 지난 개인정보를 삭제하지 않고 보관한 것으로 나타났다. 개인정보의 안전성 확보 조치를 소홀히 한 사실도 확인했다.

사단법인 정보산업연합회는 산하기구 누리집 회원정보(3587건)와 행사 참석자(1만9841건)의 개인정보가, 슈빅은 위탁 운영 중이던 동창회 등의 누리집과 온라인 쇼핑몰 회원 총 157만986명의 개인 정보가 다크웹을 통해 유출되는 피해를 입었다. 정보산업연합회는 시스템 접근통제 소홀과 비밀번호 암호화 조치를 위반했고, 슈빅은 시스템의 접근통제 소홀과 접속기록 미점검, 비밀번호 암호화 조치를 위반했다.

사업자별 위반 내용과 위반조치 / 개인정보위
사업자별 위반 내용과 위반조치 / 개인정보위
한국사회복지사협회는 회원정보를 조회하는 웹페이지가 접근통제 없이 운영하며 안전조치를 미흡하게 관리해 인터넷 검색엔진에 해당 웹페이지가 노출됐다. 대연은 ‘구글 설문지’ 이용 시 설문 옵션을 ‘공개’로 잘못 설정해 설문지 응답자 개인 정보가 타인에 공개됐다. 롯데푸드는 내부 직원들에게 크리스마스 선물을 배송하는 과정에서 개인 정보가 노출되는 사고가 있었다. 인사담당자를 비롯한 직원들을 대상으로 개인 정보 관리 감독을 소홀히 했지만, 안전성 확보 조치는 위반하지 않아 개선권고에 그쳤다.

박영수 개인정보위 조사1과장은 "내부 망 안에서 일어난 일은 관리·통제 범위 안에 있다고 본다"며 "배송지 주소를 다 회수했고, 개인정보 보호조치 의무를 위반하지 않았으며 개인 정보 취급자에 대한 관리 감독은 과태료 처분 대상이 아니기 때문에 개선을 권고했다"고 말했다.

인스타그램이 비밀번호 암호화 조치없이 3년간(2016~2019년 3월) 국내 이용자 8200명쯤의 비밀번호를 평문으로 저장해 보관했고, 창의와 탐구가 학원관리시스템의 접근통제를 미흡하게 한 사실을 확인됐다.

송상훈 개인정보위 조사조정국장은 "각 사업자들은 개인 정보의 안전한 관리를 위해 임직원 등 개인 정보 취급자를 대상으로 지속적인 교육 및 관리·감독을 해야 한다"며 "개인 정보 처리 업무를 위탁한 경우에도, 수탁자에 대한 관리와 감독을 철저히 해야 하며, 수탁자들도 개인 정보보호 법규 준수 의무가 있음을 분명히 해야한다"고 말했다.

류은주 기자 riswell@chosunbiz.com


키워드