▲ [사진=인터파크] |
지난 5월 해킹으로 회원정보 2500여만건이 유출된 온라인 쇼핑몰 인터파크가 45억원에 달하는 과징금 처분을 받았다.
방송통신위원회는 6일 전체회의를 열고 개인정보보호를 위한 기술적·관리적 보호조치 의무를 위반한 인터파크에 대해 44억8000만원의 과징금 및 2500만원의 과태료와 재발방지 대책을 수립·시행토록 하는 내용의 시정조치를 의결했다고 밝혔다.
이번 과징금은 개인정보 유출사고 중 최대 금액이다. 예전에는 개인정보가 유출됐을 때 과징금이 1억원 이하에 불과했으나, 정보통신방법이 지난 2014년 개정돼 과징금 액수가 기업 매출액의 3% 이하로 높아졌다.
방통위에 따르면 인적사항을 알 수 없는 해커는 지난 5월3일부터 같은 달 6일까지 지능형 지속가능 위협(APT) 공격방식의 해킹으로 인터파크 이용자 개인정보 2540만3576건(중복제거 시 2051만131명)을 외부로 유출했다. 유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목으로 확인됐다.
방통위는 이번 개인정보 유출사고의 주요 원인으로 정보통신망법 제28조제1항에 따른 기술적·관리적 보호조치 중 접근통제를 소홀히 한 것으로 봤다.
방통위 관계자는 "개인정보처리 시스템에 대한 개인정보 처리자의 접속이 필요한 시간 동안만 유지되도록 '최대 접속시간 제한 조치' 등을 취해야 하나, 개인정보 처리자가 업무가 끝난 뒤에도 로그아웃을 하지 않고 퇴근했다"며 "이에 따라 개인정보 처리자의 컴퓨터(PC)가 해킹에 이용된 것으로 확인됐다"고 설명했다.
이날 인터파크 관계자는 '고도화하고 있는 해킹으로 인해 부득이한 면이 있었으나, 보안 수준은 높았다'며 반박했으나 받아들여지지 않았다. 오히려 지난 7월 초 해킹 사실을 인지하고 방통위 신고와 이용자 고지가 열흘가량 지연됐다는 지적을 받았다.
방통위는 인터파크의 시정조치 이행여부를 내년 1분기까지 점검할 계획이다.
최성준 위원장은 "반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다"며 "이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다"고 말했다.
▲ [자료=방통위] |