보안
개인정보 938만건 유출··· 야놀자·스타일쉐어 등 4개 기업 관리 소홀로 제재
디지털데일리
발행일 2021-09-29 15:12:54
[디지털데일리 이종현기자] 야놀자와 스타일쉐어, 집꾸미기, 스퀘어랩 등 4개 사업자로부터 938만건의 개인정보 유출·열람이 발생했다 4개 사업자에는 총 1억8530만원의 과징금과 8300만원의 과태료, 시정명령, 공표 등의 시정조치가 내려졌다.
29일 개인정보보호위원회(이하 개인정보위)는 제16회 전체회의를 개최, 야놀자 등 4개 사업자의 개인정보보호법규 위반 행위에 대해 제재처분을 부과했다.
4개 사업자는 아마존웹서비스(AWS) 관리자 접근권한(Access Key)을 IP로 제한하지 않았다. 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영, 개인정보가 유출되거나 제3자가 열람하는 사고가 발생했다.
또 1년 이상 장기 미이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리해 별도로 저장·관리하지 않았다는 것이 개인정보위의 설명이다.
유출·열람 규모는 ▲야놀자 5만2132건 유출 ▲스타일쉐어 640만1건 유출 ▲집꾸미기 232만5540건 열람, 18만3323건 유출 ▲스퀘어랩 41만9028건 유출 등이다. 과징금·과태료는 야놀자 8690만원, 스타일쉐어 1억1070만원, 집꾸미기 5030만원, 스퀘어랩 2040만원 등이 부과됐다.
이번 사고는 클라우드 이용에서 가장 흔히 발생하는 ‘사람에 의한 실수’다. 개인정보위는 “최근 클라우드 서비스가 광범위하게 이용되는 상황에서 서비스 이용 사업자가 개인정보처리시스템에 대한 기초적인 설정을 하지 않아 개인정보가 유출되는 사고가 발생했다”고 지적했다.
클라우드의 경우 사업자가 보안을 제공하더라도 데이터에 대한 관리 책임은 이용 사업자에게 있다. 이를 수행하지 않는 경우 클라우드 사업자가 우수한 보안을 제공하더라도 무용지물이다.
특히 정보 유출 기업 중 스퀘어랩의 경우 유출된 개인정보가 다크웹에 유통되는 정황도 확인됐다. 다크웹 특성상 한 번의 유통으로 끝나지 않을 것으로 예상되는 만큼 주의를 요한다.
송상훈 개인정보위 조사조정국장은 “클라우드를 통한 개인정보 유출 방지를 위헤 서비스 제공사업자와 이용사업자가 준수해야 할 사항을 마련해 적극 홍보해 나갈 것”이라고 말했다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지