개인정보보호위원회가 대중교통 결제 플랫폼부터 국가 연구기관, 전자상거래 솔루션 사업자에 이르기까지 잇따른 개인정보 유출 사고에 대해 제재를 내렸다. 해킹 공격의 유형과 피해 규모는 달랐지만 공통적으로 기본적인 안전조치 미흡과 사후 대응 부실이 확인됐다.
개인정보위는 개인정보 보호법을 위반한 티머니, 한국연구재단(NRF), NHN커머스에 과징금·과태료를 부과하고 시정명령 및 공표를 의결했다고 29일 밝혔다.
NRF은 온라인논문투고시스템 'JAMS'에서 발생한 대규모 개인정보 유출 사고로 과징금 7억300만원과 과태료 480만원을 부과받았다. 2013년부터 존재한 취약점을 방치한 데다 약 12만명의 개인정보가 열람되고 2차 명의도용 피해까지 발생한 점이 중대하게 판단됐다.
티머니는 과징금 5억3400만원 처분을 받았다. '티머니 카드&페이' 웹사이트에서 크리덴셜 스터핑 공격을 막지 못해 5만1691명의 개인정보가 유출됐고 1400만원 규모의 'T마일리지' 추가 피해가 발생했다. 개인정보위는 대규모 비정상 로그인 시도가 있었음에도 침입 탐지·차단 조치를 소홀히 한 책임을 물었다.
NHN커머스는 구형 쇼핑몰 솔루션 'e나무'에서 발생한 SQL 인젝션 공격으로 주문자 정보 122건이 유출돼 과징금 870만원과 과태료 450만원 제재를 받았다. 개인정보위는 안전조치 미이행과 정보주체 유출통지 미흡을 문제 삼아 공표 명령과 함께 대체 솔루션 제공을 권고했다.
박진형 기자 jin@etnews.com
