• 페이스북
  • 트위터
  • 유튜브

고객정보 유출된 ‘디아스타’ 과징금 처분 …부실관리한 ‘바로고’는 시정명령

등록 2022.09.28 14:00:00수정 2022.09.28 14:07:09

  • 이메일 보내기
  • 프린터
  • PDF

여행·숙박 중개 플랫폼 디아스타, 해커 공격으로 예약자 내역 유출

바로고, 일정 기간 지난 고객정보 계속 저장…가맹점이 검색할 수 있도록 방치

담당자 실수 등으로 개인정보 유출된 LGU+ 등 8곳에 과태료 총 3120만원 부과

윤종인 개인정보보호위원회 위원장(가운데)이 28일 오전 서울 종로구 정부서울청사에서 개최된 제16회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. (사진=개인정보보호위원회 제공) *재판매 및 DB 금지

윤종인 개인정보보호위원회 위원장(가운데)이 28일 오전 서울 종로구 정부서울청사에서 개최된 제16회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. (사진=개인정보보호위원회 제공) *재판매 및 DB 금지


[서울=뉴시스]송종호 기자 = 해킹을 통해 고객 개인정보가 유출된 여행·숙박 중개 플랫폼 사업자인 디아스타코리아가 과징금 처분을 받았다.

개인정보보호위원회는 28일 제16회 전체회의를 열고 개인정보 보호법을 위반한 디아스타코리아에 총 8297만원 과징금과 과태료 360만원을 부과하기로 결정했다.

여행·숙박 중개 플랫폼 ‘디아스타’를 운영하는 디아스타코리아는 해커 공격으로 이용자 예약 내역이 유출됐다. 개인정보위 조사 결과 해커는 쿠키 변조 보안취약점을 이용해 관리자 권한을 획득한 것으로 확인됐다. 관리자 권한을 탈취한 해커는 관리자 페이지에 무단접속해 개인정보를 유출했다.

디아스타코리아는 개인정보처리시스템을 운영하면서 취약점 점검을 소홀히 하고 안전성 확보를 위한 적절한 개선조치를 하지 않았다고 개인정보위는 설명했다. 이는 개인정보보호법 제29조 안전조치의무(접근통제) 위반에 해당한다.

이날 개인정보위는 제휴 음식점에서 휴대전화 번호를 입력하면 집주소가 검색되도록 개인정보를 부실하게 관리한 배달대행 플랫폼 사업자인 바로고에 시정명령을 의결했다. 이는 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 제5항에 근거한 조치다.

배달대행 업계에 따르면 고객이 음식을 주문하면 음식점은 배달대행업체에 고객 정보를 전달한다. 이 때 배달대행업체는 일정 기간이 지나면 고객정보를 확인할 수 없도록 조치를 취해야 한다. 하지만 바로고는 고객정보를 계속 저장해두고, 제휴 음식점이 검색할 수 있도록 방치해 개인정보보호법을 위반한 혐의를 받고 있다.

양청삼 개인정보위 조사조정국장은 “음식점, 판매점, 부동산 등으로부터 개인정보 업무를 위탁받아 처리하는 수탁자는 위탁받은 업무 범위를 초과해 개인정보를 이용해서는 안된다”고 강조했다.

이어 “향후 수탁자의 개인정보보호 법규 위반에 대해 과징금·과태료를 부과할 수 있도록 한 보호법 개정안이 입법 완료되면, 수탁자의 개인정보보호에 대한 책임성이 한층 강화될 것으로 기대한다”고 말했다.

이밖에 개인정보위는 해킹으로 개인정보가 유출된 기업 등 개인정보보호법을 위반한 사업자에 과태료 부과를 의결했다.

LG유플러스와 대동병원은 해커 공격으로 임직원 메일 정보 등이 유출됐다. LG유플러스는 임직원 등의 교육시스템 내 일부 페이지가 로그인 없이 접근 가능했고, 특수문자 차단 기능을 적용하지 않아 에스큐엘(SQL) 주입 공격으로 임직원 등의 메일 정보가 다크웹에 게시돼 과태료 600만원을 처분받았다. 에스큐엘 공격은 데이터베이스에 대한 질의 값을 조작해 해커가 원하는 자료를 데이터베이스로부터 빼내는 공격 기법이다.

대동병원은 누리집 게시판 파일 업로드 취약점을 노린 해킹 공격으로 회원 메일정보가 유출된 것으로 확인돼 과태료 360만원 처분을 받았다.

 로젠의 경우 택배 영업소장이 개인정보를 조회할 수 있는 계정을 제3자에게 불법 제공해 고객의 개인정보가 유출돼 과태료 600만원이 결정됐다.

개인정보보호위는 또 담당자 실수 등으로 개인정보가 유출된 컴투스, 사단법인 국립중앙박물관회, 누리미디어, 나라사랑공제회, 정상북한산리조트 등 5개 사업자에 과태료 총 1620만원을 의결했다.

양 국장은 “개인정보 유출 사고는 외부 해킹 뿐 아니라 담당자 실수와 같은 내부 요인으로도 발생하고 있다”라며 “개인정보처리시스템의 안전조치 의무사항을 상시 점검하고 개인정보 보호 교육 등 담당자 인식 제고 노력도 지속적으로 해야한다”라고 말했다.


◎공감언론 뉴시스 [email protected]

많이 본 기사