[디지털데일리 이종현기자] 건강기능식품 온라인 쇼핑몰을 운영 중인 에스엘바이오텍의 개인정보 관리 소홀로 약 12만여명의 개인정보 유출이 발생했다. 이에 대한 처벌로 과징금 4억6457만원, 과태료 720만원이 부과됐다.
8일 개인정보보호위원회(이하 개인정보위) 조사2과는 개인정보보호 법규 위반 사업자 4개에 대한 제재를 진행했다. 에스엘바이오텍, 티앤케이팩토리, 케이지에듀언, 청오디피케이 등 4개 사업자에게 총 4억8342만원, 3480만원의 과징금과 과태료가 부과됐다.
가장 큰 과징금·과태료를 부과받은 것은 에스엘바이오텍이다. 에스엘바이오텍은 건강기능식품 온라인 쇼핑몰을 운영하면서 개인정보처리시스템에 대한 접근권한을 제한하지 않고 악성파일이 업로드되도록 하는 등 관리에 소홀했다.
이로 인해 이용자 75명의 신용카드 결제정보를 포함, 총 11만9756명의 개인정보가 유출됐다. 개인정보 유출신고와 유출 통지를 지연한 사실도 확인됐다는 것이 개인정보위의 설명이다.
온라인 쇼핑몰을 운영하는 티앤케이팩토리의 경우 개인정보 접근통제를 소홀히 해 이용자 1만6702명의 정보가 유출됐다. 이용자에게 개별 유출 통지를 하지 않음에 따라 과징금 1138만원, 과태료 960만원이 부과됐다.
케이지에듀원은 온라인 교육 서비스를 운영하면서 494명의 주민등록번호를 법적 근거 없이 처리한 점, 또 신분증 1136건이 검색엔진에 노출되도록 한 점 등으로 과징금 747만원과 과태료 1080만원이 부과됐다.
온라인 피자 배달 서비스를 운영하는 청오디피케이는 전자우편 유효성을 검증하지 않고 간편인증 가입회원과 기존 회원이 전자우편 주소만 일치하는 경우 동일 회원으로 식별토록 인증 로직을 잘못 설정해 이용자 1명의 개인정보가 유출됐고, 유출 신고 및 통지를 지연한 것으로 파악돼 과태료 720만원을 부과받았다.
진성철 개인정보위 조사2과장은 “해커가 온라인 사이트의 파일 업로드 취약점을 이용하여 악성코드를 업로드 후 실행함으로써관리자 권한을 획득하는 공격 방법(웹셸 공격)을 통해 신용카드결제정보를 유출해 간 사례가 발생해 주의가 요구된다”며 “웹셀 공격 등으로 결제정보가 유출되는 유사한 사례가 발생한 경우 개인정보위 또는 한국인터넷진흥원(KISA)에 신고하고 신속하게 이용자에게 통지해야 한다”고 강조했다.