한국 정부가 페이스북에 이어 마이크로소프트 등 6개 사업자를 개인정보보호법 위반으로 제재했다. 정보유출 후 한국어 통지가 늦거나 관리자의 개인정보 취급 부주의 등 법 위반에 따른 조치다.
개인정보위는 해킹, 담당 직원 실수 등으로 개인정보가 유출된 사실이 신고‧접수돼 조사에 착수했다. 한국인터넷진흥원(KISA)의 기술지원을 받아 조사한 결과 위법 사항이 확인됐다.
마이크로소프트(MS)는 개인정보처리 시스템 관리자 계정에 대한 접근통제 등을 하지 않아 일부 사용자의 개인정보가 유출됐다. 개인정보 유출 신고와 이용자에 대한 통지도 지연했다. 개인정보 유출사고를 인지하고 영문 통지는 24시간 이내에 했지만, 한국어 통지는 11일 후에 이뤄졌다.
개인정보위에 따르면 마이크로소프트는 전 세계에서 11만9000쯤개의 아웃룩 이메일 계정이 유출됐고, 이 중 한국 이용자 이메일은 144개로 확인됐다. 유출된 내용은 성명, 생년월일, 성별, 이메일주소와 이메일 제목, 수발신된 타인의 이메일 주소 등이다.
그라운드원 등 2개 사업자는 비밀번호 관리 소홀 등으로 주민등록번호가 암호화되지 않은 상태로 유출됐다. 이에 따른 개인정보 유출 신고나 통지를 지연했다.
그라운드원은 구글 지스위트에서 주민등록번호 2개를 포함해 2433건의 개인정보가 담긴 문서를 해커에게 빼앗겼다.
한국프로축구연맹은 개인정보를 제3자에게 제공할 때 동의를 거부할 권리 등을 고지하지 않은 것으로 확인됐다. 한국산악자전거연맹 등 2개 사업자는 개인정보처리시스템 관리자 페이지에 대한 접근통제를 하지 않는 등 안전성 확보조치 의무를 이행하지 않았다.
세계수학융합올림피아드(WMO)코리아는 SQL 인젝션 공격(데이터베이스에 전송되는 SQL 쿼리문을 조작해 데이터베이스를 변조하거나 허가되지 않는 정보에 접근하는 것)을 당해 1만8000명이 넘는 개인정보가 유출됐다.
개인정보위는 법규에 명시된 개인정보 유출 신고와 통지 의무, 안전성 확보조치 의무 등을 위반한 6개사 모두에게 과태료를 부과했다. 접근통제를 위반하거나 주민등록번호를 암호화하지 않은 마이크로소프트 등 3개사에는 과징금을 부과하고, 개인정보취급자 관리 감독을 소홀히 한 그라운드원 등 3개사에는 개선권고 처분을 내렸다.
박영수 개인정보보호위원회 조사1과 과장은 "MS의 경우 한국어를 사용하는 대한민국 이용자에 대해서도 바로 통지가 이뤄지는 것이 바람직하다고 판단했다"며 "MS는 첫 제재며, 앞으로도 글로벌 사업자를 국내 사업자와 동일하게 처분해 역차별이 생기지 않도록 하겠다"고 말했다.
송상훈 개인정보위 조사조정국장은 "사업자가 수집한 개인정보 관리를 소홀히 하여 유출 사고가 발생하면, 사기전화(보이스피싱) 등 범죄에 악용돼 2차 피해가 발생할 소지가 있다"며 "앞으로도 개인정보위는 개인정보 유출방지에 필요한 법적 의무를 위반한 행위에 대해서는 엄격한 법 집행을 이어갈 것이며, 이번 사례가 사업자들이 개인정보 관리에 대해 각별한 주의를 기울이는 계기가 됐으면 한다"고 말했다.
류은주 기자 riswell@chosunbiz.com