카카오페이와 애플이 개인정보보호법상 국외 이전 규정을 위반하고, SK스토아와 동행복권은 보안조치를 소홀히 한 탓에 자사 회원 수십만명의 개인정보가 유출되면서 수십억원대 과징금을 내게 됐다.
개인정보보호위원회는 지난 22일 전체회의를 열고 개인정보보호법상 국외이전 규정을 위반한 카카오페이에 과징금 59억6800만원, 애플(Apple Distribution International Limited)에 과징금 24억500만원과 과태료 220만원, 시정명령을 각각 부과했다.
카카오페이는 전체 이용자 약 4000만명의 개인정보를 동의 없이 애플 서비스 이용자 평가 목적으로 알리페이로 제공했다. 또 알리페이는 매일 카카오페이로부터 고객 정보를 받아 이용자별 점수를 산출한 뒤 애플이 조회할 때 즉시 회신했다. 애플은 제3국의 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않았다.
이렇게 국외로 전송된 개인정보는 이용자별 고유번호, 휴대전화번호, 이메일주소 및 자금부족 가능성과 상관관계가 있는 정보(카카오페이 가입일, 신분증 확인된 계정여부, 충전잔고, 최근 7일간 충전·결제·송금 건수 등) 총 24개 항목에 달했다.
개인정보위는 "이번 조사는 최근 글로벌 플랫폼 서비스의 확대로 개인정보 국외이전이 증가하고 있는 상황에서 개인정보 국외 이전의 범위를 명확히 하고 사업자가 국외 이전의 적법 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있다"고 설명했다.
카카오페이는 "앱스토어 결제 시 사용자의 이중 수수료 부담을 해소하기 위해 국내 간편결제 중 최초로 앱스토어 결제를 제공했다"며 "안전한 결제 환경을 제공하기 위해 꼭 필요한 절차라는 점과 근거를 성실히 소명했으나 이러한 결과를 맞게 되어 매우 안타깝게 생각하고, 향후 대응 방안을 신중히 검토해 계속해서 소명할 것"이라고 했다.
개인정보위는 이날 전체회의에서 개인정보 유출 사고를 조사한 결과도 공개했다. 이에 따라 SK스토아와 동행복권에 대해 총 19억4280만원의 과징금 및 과태료, 공표 명령 등을 부과하기로 했다. SK스토아는 과징금 14억3200만원, 과태료 300만원, 동행복권의 경우 과징금 5억 300만원, 과태료 480만원이다.
SK스토아는 2023년 11월 해커에 의해 12만5000명에 달하는 회원 개인정보가 유출됐다. 이는 SK스토아가 특정 IP 주소에서 대량의 반복적인 로그인 시도와 같은 비정상적인 접속 시도를 방지하기 위한 안전조치의무를 소홀히 한 탓으로 조사됐다. SK스토아 일부 웹페이지에선 이용자 비밀번호가 암호화 조치 되지 않은 상태로 송수신된 점도 확인됐다.
동행복권에선 2023년 11월 해커에 의해 무려 75만명에 달하는 회원 개인정보가 탈취됐다. 동행복권은 비밀번호 변경 기능을 설계·구현할 때 이용자 인증 관련 보안 취약점에 대해 점검·개선 조치를 소홀히 했다. 해커의 과도한 접속 시도 등 이상행위를 탐지하고 차단하는 등의 안전조치 역시 미흡했다.
개인정보위는 전체회의에서 앞으로 민생과 밀접한 개인정보보호 분야를 집중 조사한다는 방침도 정했다. 조사 대상은 △여행‧렌트카‧공유 모빌리티 등 공유 플랫폼 △디지털 금융 △‘부동산‧건설 △에듀테크 등이다.
개인정보위는 "엄정한 법 집행 외에도 자발적인 법 준수 유도 등을 병행함으로써 사회 전반의 실질적인 개인정보 보호 수준 개선을 위해 최선을 다할 방침"이라고 밝혔다.
