연합뉴스고객정보 관리를 허술히 한 미스터피자와 야놀자에프앤비솔루션 등 6개 업체에 대해 과징금과 과태료가 부과됐다.
개인정보보호위원회는 개인정보보호 법규를 위반한 ㈜미스터피자, ㈜야놀자에프앤비솔루션 등 6개 사업자에 대해 총 1억 9699만 원의 과징금과 4710만 원의 과태료를 부과하기로 의결했다고 25일 밝혔다.
개인정보위에 따르면 (주)디에스이엔 및 (주)미스터피자에서 분할된 회사인 (주)디에스이엔은 온라인 피자주문 서비스를 운영하는 업체로, 시스템 개발 과실로 관리자 페이지 주소를 입력하면 누구나 접속해 주문정보를 볼 수 있었다.
검색엔진에도 해당 관리자 페이지가 노출돼 개인의 주문정보를 다른 사람이 볼 수 있었다.
이용자의 주문정보를 1년만 보관한다고 했지만 실제로는 기간이 경과한 이용자의 주문정보를 파기하지 않은 사실도 파악됐다.
야놀자에프엔비솔루션은 운영 중인 '도도포인트' 서비스와 관련해 클라우드 데이터 저장소를 이용했는데 데이터 저장소의 기본 설정값을 공개로 설정해 누구나 해당 주소로 접속하면 저장소에 있던 고객의 개인정보(최소 794건)를 볼 수 있었다고 개인정보위는 전했다.
에스티지24는 LED 마스크 등을 판매하는 온라인 쇼핑몰인데 이벤트 진행 과정에서 홈페이지 접속자 정보가 중복되도록 잘못 관리해 일부 당첨자(173명)의 선물 수령 정보에 다른 당첨자의 수령 정보가 저장돼 열람된 사실이 확인됐다.
㈜펀잇은 해커가 관리자 계정으로 접속해서 회원정보를 확인하고 전체 회원 2만196명을 대상으로 문자메시지를 발송했는데, 외부에서 관리자 페이지에 접속할 때 아이디와 비밀번호 이외에 안전한 인증수단을 적용하지 않은 것으로 드러났다.
㈜하이플레이의 경우, 해커가 관리자 계정으로 DB 관리프로그램에 접속한 후 1409건의 개인정보를 유출해 다크웹에 게시한 일이 있었고 다른 사업자로부터 사업을 넘겨받으면서도 개인정보도 이전받았으나 이용자에게 알리지 않았고, 법령에 근거없이 이용자의 주민등록번호를 수집한 사실도 있었다.
개인정보를 수집‧처리하는 사업자는 법에 따라 개인정보처리시스템에 접속 가능한 IP주소 제한 등 보안장비 설치‧운영 이외에도, 운영 환경과 시스템 설정의 취약점은 없는지 주기적으로 점검해야 한다.
개인정보보호위원회는 특히 관리자 계정으로 외부망에서 접속하는 경우 2차 인증을 적용하고, 불필요한 개인정보나 보유기간이 지난 개인정보는 파기하는 등 개인정보 보호법을 준수해야 한다고 당부했다.