민감 개인정보 유출 `여기어때`, 과징금 3억원…"`매우 중대한 위반행위`로 판단"

입력 2017-09-08 15:14

[디지털타임스 진현진 기자]지난 3월 대규모 개인정보 유출로 사회적 파장을 불러일으켰던 숙박 O2O(온·오프라인 연계) 서비스 업체인 여기어때가 방송통신위원회로부터 과징금 3억100만원의 철퇴를 맞았다.

8일 방통위는 전체회의를 열고 여기어때를 운영하는 위드이노베이션에 대해 △과징금 3억 100만원 △과태료 2500만원 △책임자 징계권고 △위반행위의 중지 및 재발방지대책 수립 시정명령 △시정명령 처분사실 공표 등 엄정한 행정처분을 의결했다고 밝혔다.
해커에게 유출된 개인정보는 여기어때 고객의 숙박예약정보 323만9210건과 회원정보 17만8625이다. 중복자를 제외하면 97만1877명이 개인정보를 탈취 당했으며, 당시 'XX님 X월X일 XX에서 황홀한 X하셨나요' 등의 음란문자자 4817건이 발송돼 논란은 더욱 커졌다. 현재 피해자들은 위드이노베이션을 상대로 집단소송을 진행 중이다.

방통위에 따르면 위드이노베이션은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(이하 '정보통신망법') 에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반하고 있는 것으로 나타났다.

특히 △개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않은 점 △적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하지 않은 점 △해킹을 당한 마케팅센터 웹페이지에 대해서 웹페이지 취약점 점검을 수행하지 않은 점 △고객상담사 등에게 파일 다운로드 권한이 있는 관리자페이지 접근권한을 부여하는 등 접근권한을 과하게 부여한 점 △인사이동 시 취급자의 접근권한을 지체 없이 변경하지 않아, 해커가 이를 악용하여 개인정보 파일을 다운로드 한 점 등 정보통신망법 제28조제1항에 따른 접근통제 조치 전반을 소홀히 했다고 방통위 측은 판단했다.

방통위는 보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용된 점, 피해규모가 크고 유출된 개인정보를 활용한 문자발송 등 이용자 추가 피해가 확인된 점 등을 종합적으로 고려해 위드이노베이션의 위반행위를 '매우 중대한 위반행위'로 보고 '과징금'을 산정·부과했다.

또한 방통위는 지난해 정보통신망법 개정에 따라 도입된 '책임자 징계권고'를 개인정보 유출사고 최초로 적용하기로 했다. 위드이노베이션은 대표자와 책임 있는 임원에 대해 징계를 권고하고 그 결과를 방통위에 통보해야 한다.

이효성 방통위원장은 "O2O(온·오프라인 연계)서비스의 경우 사생활과 관련된 민감정보를 수집·이용하는 경우가 많으므로, 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안투자나 개인정보 보호를 위한 노력을 병행하길 바란다"고 말했다.

이에 대해 위드이노베이션 관계자는 "상황을 파악하는 중"이라고 말했다. 진현진기자 2jinhj@dt.co.kr

민감 개인정보 유출 `여기어때`, 과징금 3억원…"`매우 중대한 위반행위`로 판단" — 지난 3월 개인정보 유출 당시 위드이노베이션이 띄운 공지<'여기어때' 앱 캡처>

가장 많이 본 기사