개인정보위, 개인정보 유출한 '보람상조' 제재

개인정보위, 개인정보 유출한 '보람상조' 제재

- 안전조치의무 소홀 및 수탁자 관리감독 미흡에 대해 과징금·과태료 약 5.5억 원 부과

- 다수 기업이 관련되는 개인정보 처리 구조에서의 투명성 제고 및 관리 책임 강화 강조

- 개인정보 장기보관, 다수의 협력업체 등이 존재하는 상조분야 전반에 대해 사전실태점검 병행 중

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 5월 13일(수) 제9회 전체회의를 열고, ｢개인정보 보호법｣(이하 '보호법')을 위반한 보람상조개발㈜(이하 '보람상조개발') 등 보람상조 7개 사업자*에 대해 과징금 총 5억 4,250만 원 및 과태료 1,140만 원을 부과하고, 시정 및 공표 명령을 의결하였다.

• 보람상조개발(주), 보람상조리더스(주), 보람상조라이프(주), 보람상조피플(주), 보람상조애니콜(주), 보람상조실로암(주), 보람상조플러스(주)

개인정보위는 '24. 5. 28. 보람상조개발로부터 개인정보 유출 신고가 접수됨에 따라 조사에 착수하여, 안전조치의무 위반 및 수탁자에 대한 관리감독 소홀 등의 법 위반 사실을 확인하였다.

조사 결과에 따르면, 보람상조개발은 보람상조리더스㈜ 등 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해 왔으나, 해당 시스템과 관련하여 접근제어 등 안전성 확보 조치를 소홀히 하였던 것으로 드러났다.

더불어, 위탁사인 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있음에도, 이를 충분히 이행하지 않은 사실도 확인되었다.

이에, 해커가 홈페이지의 취약점을 이용한 '에스큐엘 인젝션(SQL Injection)*' 공격을 통해 해당 DB에 침입하여 이름, 휴대전화번호, 이메일 등 고객의 개인정보를 탈취한 것으로 확인되었다.

• 웹 애플리케이션의 보안 취약점을 이용해 악의적인 SQL 구문을 입력하여 데이터베이스를 조작하거나 정보를 탈취하는 해킹 기법

추가로, 보람상조개발이 유출 사실을 인지한 후 정보주체에게 지체없이 통지해야 함에도 법정 기한을 넘겨 통지한 사실과, 보유 기간이 경과한 개인정보를 파기하지 않고 보관한 사실도 확인되었다.

이에 따라 개인정보위는 보람상조개발에 안전조치의무 위반 등으로 과징금 5억 3,100만 원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1,140만 원을, 계열사에는 수탁자에 대한 관리·감독 책임을 물어 총 1,150만 원의 과징금을 부과하고, 처분 내용을 사업자의 누리집(홈페이지)에 공표하도록 명령하였다.

아울러, 그룹 차원의 전반적 개인정보 처리 현황 점검·정비 및 의사결정체계 정비, 위수탁 관계 투명성 확보 등을 내용으로 하는 시정조치 명령을 통해 그룹 전체의 개인정보 보호 수준을 강화하도록 하였다.

이번 처분은 계열회사 등 다수 기업이 관련되는 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 발생할 수 있는 보안 사각지대를 경고했다는 데 의의가 있다.

특히 위수탁 등을 통해 개인정보를 통합 처리하는 경우, 효율성 못지않게 처리 체계의 투명성 확보가 중요하며, 위탁자는 수탁자의 개인정보 처리 현황 및 보호 조치 등을 실질적으로 관리·감독할 책임이 있다는 점을 명확히 하였다.

개인정보위는 앞으로도 대규모 개인정보를 처리하거나 복잡한 위수탁 구조를 가진 사업자들이 보다 투명하고 안전하게 개인정보를 처리할 수 있도록 실태점검 및 감독을 강화해 나갈 예정이며, 현재 상조 분야 전반에 대해 개인정보 처리실태 점검 및 관행 개선을 위한 사전 실태점검('26.1월~)을 진행 중이다.

• 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

• 담당자 : 조사1과 이화(02-2100-3115)