개인정보위, '보람상조' 개인정보 유출 제재 … 과징금 5억5000만원 부과

개인정보보호위원회(개인정보위)가 고객 개인정보 유출 사고가 발생한 보람상조 계열사들에 대해 총 5억5000만원 규모의 과징금·과태료를 부과했다. 개인정보 보호 조치를 소홀히 한 것은 물론, 그룹 차원의 위수탁 관리·감독 체계 역시 미흡했다고 판단했다.

개인정보위는 지난 13일 제9회 전체회의를 열고 개인정보 보호법 위반 혐의로 보람상조개발과 계열사 등 보람상조 7개 사업자에 대해 과징금 5억4250만원과 과태료 1140만원을 부과하고 시정명령 및 공표명령을 의결했다고 14일 밝혔다.

제재 대상은 보람상조개발을 비롯해 보람상조리더스·보람상조라이프·보람상조피플·보람상조애니콜·보람상조실로암·보람상조플러스 등 7개사다.

개인정보위는 지난해 5월 보람상조개발로부터 개인정보 유출 신고를 접수한 뒤 조사에 착수했다. 조사 결과 보람상조개발은 계열사들로부터 온라인 고객상담 등 고객관계관리(CRM) 업무를 위탁받아 개인정보 통합 데이터베이스(DB)를 운영하면서 접근통제 등 안전조치를 충분히 하지 않은 것으로 파악됐다.

해커는 이 과정에서 홈페이지 취약점을 이용한 ‘에스큐엘 인젝션’ 공격으로 DB에 침입해 고객 이름, 휴대전화번호, 이메일 주소 등 개인정보를 탈취한 것으로 조사됐다. SQL 인젝션은 악성 SQL 구문을 입력해 데이터베이스를 조작하거나 정보를 빼내는 대표적인 웹 해킹 수법이다.

개인정보위는 개인정보 처리 위탁 구조에 대한 계열사들의 관리 책임도 문제 삼았다. 위탁사인 계열사들은 수탁자인 보람상조개발이 개인정보를 안전하게 처리하도록 교육·감독해야 하지만 관련 의무를 제대로 이행하지 않았다는 설명이다.

이에 따라 개인정보위는 보람상조개발에 안전조치 의무 위반 등의 책임을 물어 과징금 5억3100만원과 과태료 1140만원을 부과했다. 나머지 계열사들에는 수탁자 관리·감독 책임을 적용해 총 1150만원의 과징금을 부과했다.

이와 함께 개인정보위는 유출 사실 인지 후 정보주체에게 법정 기한 내 통지하지 않은 점과 보유기간이 지난 개인정보를 파기하지 않고 보관한 점도 위반 사항으로 판단했다.

개인정보위는 이번 처분이 다수 기업이 얽힌 복잡한 개인정보 처리 구조에서 발생할 수 있는 ‘보안 사각지대’를 경고한 사례라고 설명했다. 특히 그룹 차원에서 개인정보를 통합 관리하는 경우 처리 체계의 투명성과 위탁사의 실질적인 관리·감독 책임이 중요하다는 점을 분명히 했다고 강조했다.

현재 상조업계 전반을 대상으로 개인정보 처리 실태와 관행 개선 여부를 점검 중이며, 앞으로도 대규모 개인정보를 처리하거나 복잡한 위수탁 구조를 가진 사업자에 대한 감독을 강화할 방침이다.