• 페이스북
  • 트위터
  • 유튜브

한국맥도날드, 488만 고객 개인정보 유출…과징금 7억 제재

등록 2023.03.22 14:16:01수정 2023.03.22 14:43:55

  • 이메일 보내기
  • 프린터
  • PDF

개인정보위, 개인정보보호 법규를 위반 6개 사업자에 시정조치

맥도날드는 6억9646만원 과징금, 총 8억6276만원 과징금·3600만원 과태료 부과

(사진=맥도날드 제공) *재판매 및 DB 금지

(사진=맥도날드 제공) *재판매 및 DB 금지


【서울=뉴시스】송혜리 기자 = 487만6106명의 고객 개인정보가 유출된 한국맥도날드가 개인정보보호위원회로부터 7억원 상당의 과징금 제재를 받았다.

개인정보보호위원회는 22일 제5회 전체회의를 열고, 개인정보보호법을 위반한 6개 사업자에 대해 총 8억 6276만원의 과징금과 3600만원의 과태료를 부과하기로 결정했다고 밝혔다.

앞서 개인정보위는 개인정보 유출·침해 신고에 따라, 온라인 사이트를 운영하는 한국맥도날드, 삼성증권, 아이마켓코리아, 브리티쉬아메리칸토바코코리아, 제이케이클럽, 카라솔루션에 대한 조사에 착수했다.

조사 결과, 5개 사업자는 안전조치의무를 위반했고, 1개 사업자는 개인정보의 수집·이용 동의 등에 대한 특례를 위반한 사실을 확인했다.

한국맥도날드는 이용자의 개인정보가 포함된 백업파일이 네트워크를 통해 파일 공유가 가능한 에스엠비(SMB) 프로토콜을 통해 접속될 수 있도록 운영하는 등 접근통제 조치를 소홀히 했다. 이에 따라 이용자 487만6106명의 개인정보가 해킹 등을 통해 유출됐다. 또 보유기간이 지난 이용자 76만6846명의 개인정보를 파기하지 않았고, 개인정보 유출신고와 유출통지를 지연한 사실도 확인돼 과징금 6억9646만원과 과태료 1020만 원이 부과됐다.

삼성증권의 경우, 4만8122명의 개인정보가 유출됐다. 투자교육 누리집을 운영하면서 웹서버 설정 오류로 인한 '디렉토리 리스팅' 취약점 보완 조치를 하지 않았고, 관리자 페이지 접근 시 인증절차를 누락했다. 디렉토리 리스팅은 특정 디렉토리(폴더)를 웹 브라우저에서 열람하면 해당 디렉토리(폴더) 내 목록과 파일이 직접 조회될 수 있도록 설정하는 옵션이다. 또한 이 업체는 최소 1년 이상 보존·관리해야 하는 개인정보처리시스템의 접속기록을 한 달여간만 보관한 사실도 확인돼, 과징금 9800만원과 과태료 360만원을 내게 됐다.

기업 유니폼 제작 서비스 업체 아이마켓코리아은 4894명의 개인정보가 유출되는 사고를 당했다. 개인정보처리시스템에 대한 접근권한을 아이피(IP) 주소 등으로 제한하지 않았던 것으로 밝혀졌다. 개인정보위는 이 업체에 과징금 1895만원과 과태료 300만원을 부과했다.

브리티쉬아메리칸토바코코리아에서는 1540명의 개인정보가 유출됐다. 이 회사는 전자담배 제작·판매 서비스를 운영하면서 개인정보처리시스템에 대한 접근권한을 아이피(IP) 주소 등으로 제한하지 않았던 것으로 드러났다. 과징금 3378만원과 과태료 720만원 제재를 받았다.

의류 쇼핑몰을 운영하는 제이케이클럽은 이용자가 회원가입 시 개인정보 수집·이용 동의를 체크박스 기능을 통해 받고 있으나, 해당 체크박스를 공란으로 두어 법적 고지사항 모두를 이용자에게 알리지 않았다. 아울러 동의를 하지 않아도 회원가입이 완료되도록 해 이용자의 개인정보를 적법하지 않게 수집·이용한 행위에 대해 과징금 1179만원이 부과됐다.

육아돌봄 구인구직 플랫폼을 운영하는 카라솔루션은 외부에서 개인정보 처리시스템 접속 시 안전한 인증수단을 적용하지 않았다. 또한 관리자 페이지 로그인 인증방식 변경 과정에서 시스템 설정 오류로 인해, 검색엔진에 관리자 페이지의 주소(URL)가 검색가능한 상태로 노출됨으로써 관리자 페이지에 비정상적인 접근을 허용했다. 이용자 1664명의 개인정보가 유출됐다. 최소 1년 이상 개인정보 처리시스템의 접속기록을 보존·관리하지 않고, 개인정보 유출신고와 유출통지를 지연한 사실도 확인돼 과징금 378만원과 과태료 1200만원이 부과됐다.

진성철 개인정보위 조사2과장은 "이용자의 개인정보를 처리하는 사업자는 언제든지 해킹 공격 및 시스템 오류 등으로 개인정보 유출 피해가 발생할 수 있다는 점을 인식해야 한다"면서 "접근통제 등 안전조치 관련 의무사항을 상시 점검하고, 유출 사고가 일어났을 때는 신고 및 통지를 신속·적법하게 이행해야 한다"고 강조했다.


◎공감언론 뉴시스 [email protected]

많이 본 기사