개인정보위, 안전조치의무 위반 3개 사업자 제재

개인정보 기술적·관리적 보호조치 소홀에 과태료 2,680만원 부과

[보안뉴스 원병철 기자] 개인정보보호위원회(위원장 윤종인, 이하 개인정보위)는 1월 26일 개최한 제2회 전체회의에서 개인정보보호 법규를 위반한 사업자를 대상으로 총 2,680만원의 과태료 부과와 함께 시정명령 처분을 심의·의결했다. 이번 처분대상인 플라이팝콘(해외 구매대행), 피씨유(쇼핑몰), 알럽스킨(쇼핑몰) 등 3개 사업자는 공통적으로 개인정보의 기술적·관리적 조치를 다하지 않아 안전조치의무를 위반한 것으로 확인됐다.

[자료=개인정보위]

개인정보위는 사업자의 유출신고를 계기로 조사에 착수했으며, 3개 사업자 모두 관리자페이지 접속 시 안전한 인증 수단을 적용하지 않거나, 누리집(홈페이지) 취약점 점검을 수행하지 않는 등 개인정보처리시스템에 대한 접근통제를 실시하지 않아 해커 공격 및 검색엔진 표출 등으로 개인정보가 유출된 것으로 확인됐다.

이에 더해 플라이팝콘은 개인정보 유출을 인지한 24시간 이내에 유출신고 및 이용자 대상 유출통지를 실시하지 않았으며, 알럽스킨은 이용자의 비밀번호와 주민등록번호를 안전하게 암호화해 보관하지 않고, 보관기간이 경과한 개인정보를 즉시 파기하지 않은 위반사항이 추가 확인됐다.

양청삼 개인정보위 조사조정국장은 “온라인 쇼핑몰 등 소규모 정보통신서비스 사업자들이 최소한의 기술적·관리적 보호조치에 대해 잘 모르거나 소홀히 하여 개인정보 유출을 초래하는 사례가 상당히 많다”며, “개인정보보호 포털에서 제공하는 자가진단 도구와 상담, 기술지원 서비스 등을 적극 활용하여 개인정보 보호조치에 빈틈이 없는지 확인하고 보완해 주시기를 당부드린다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)