[단독] 베어트리파크, 회원 개인정보 2만8천여건 무방비 노출

2만 8,734명 회원의 주민번호 등 총 10가지 정보 인터넷상 노출_
베어트리파크 측 “홈페이지 리뉴얼 과정에서 발생...조치완료”_
유출 사실 즉시 신고 및 고지하고, 유출 회원들에게 통보해야

[보안뉴스 민세아] 세종시 소재 수목원 베어트리파크 회원의 개인정보 2만 8천여 건이 인터넷상에 무방비로 노출돼 누구나 열람 가능했던 사실이 드러났다.

▲베어트리파크 홈페이지

베어트리파크 회원들의 개인정보는 암호화되지 않은 파일 형태로, 개인 아이디나 비밀번호 등 특정 영문단어 검색만으로도 온라인에서 쉽게 다운받을 수 있었다.

이 파일에는 2009년부터 지난 2014년 11월까지 가입한 이용자의 이름, 아이디, 비밀번호, 주민등록번호, 우편번호, 주소, 전화번호, 휴대폰번호, 이메일, 가입일 등 개인에 대한 모든 정보가 기재되어 있다. 이에 베어트리파크 측은 개인정보 유출사실을 정부당국에 즉시 신고하고, 이 사실을 회원들에게 이메일이나 유선 등으로 통보해야 할 것으로 보인다.

개인정보보호법 제24조에 따르면 개인정보처리자가 고유식별번호를 처리하는 경우 그 고유식별번호가 분실·도난·유출·변조 또는 훼손되지 않도록 암호화 등 안전성 확보에 필요한 조치를 취해야 한다.

또한, 지난해 8월 7일 시행된 개정 개인정보보호법에 따르면 보유 중인 주민등록번호를 모두 2016년 8월 6일까지 폐기 또는 생년월일 및 아이핀(i-PIN)으로 대체해야 하며, 오프라인의 경우 마이핀(My-PIN)으로 대체해야 한다.

▲ 베어트리파크 고객의 개인정보가 여과 없이 보여진다.

그러나 베어트리파크의 경우 고객의 민감한 정보를 암호화하지 않은 채 보관했을 뿐만 아니라 고객정보 파일에 대한 접근관리도 부실했던 것으로 보인다. 이와 관련 베어트리파크 측은 “취약한 홈페이지의 보안 강화를 위한 리뉴얼 과정에서 발생한 문제”라며, “지금은 신속하게 조치를 완료한 상태로, 앞으로 보안에 최선을 다할 것”이라고 전했다.

이를 제보한 기업 전산보안 관련 종사자인 이경근 씨는 “최근 개인정보보호법이 강화되고 있는 추세에서 고객정보를 수집하는 기업은 고객정보 관리에 좀더 만전을 기해야 할 것”이라고 전했다.

한편, 지난해 행정자치부와 개인정보보호위원회가 발표한 ‘2014년 개인정보보호 실태조사 보고서’에 따르면 민간기업과 국가기관·지방자치단체에서의 주민등록번호 암호화 미실시율이 49.3%에 이르는 것으로 집계되는 등 개인정보보호 의식이 여전히 미흡한 것으로 드러났다.

[민세아 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)