개인정보보호위원회는 30만건에 달하는 회원 개인정보가 유출된 네오팜에 대해 1억원 상당의 과징금을 부과한다고 24일 밝혔다.
개인정보위는 전날 전체회의를 열고 개인정보보호 법규를 위반한 네오팜에 대해 과징금 1억517만원, 과태료 720만원을 부과하기로 결정했다. 개인정보위 홈페이지에 해당 내용을 공표하기로 했다.
조사 결과 네오팜이 운영 중인 쇼핑몰 관리자 계정 정보를 사전에 획득한 해커가 이를 통해 웹 관리자 페이지에 접속해 전체 회원인 29만3723명의 개인정보를 탈취한 것으로 파악됐다. 지난해 8월5일부터 2주 동안 네오팜의 쇼핑몰 웹 관리자 페이지에 750여회 접근해 회원 정보를 조회하고 내려받았으며, 약 44만건의 불법 문자도 발송했다.
네오팜은 개인정보처리시스템인 웹 관리자 페이지에 대해 추가 인증수단 없이 아이디와 비밀번호만으로도 로그인이 가능하게 운영했다. 또 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등을 제한하지 않는 등 안전조치의무도 위반했다.
네오팜은 개인정보 취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리도 미흡했다. 피해를 본 이용자 대상으로 개인정보 유출 통지도 지연한 것으로 파악됐다.
아울러 개인정보위는 해킹을 당해 1만명의 개인정보가 노출되는 등 관리 소홀이 나타난 일학에 대해서도 과징금 1800만원, 과태료 360만원을 부과했다.
일학은 지난해 12월17일부터 이틀 동안 해커의 SQL 인젝션(데이터베이스 조회 등을 위해 사용하는 프로그램 언어) 공격으로 인해 개인정보가 탈취됐다. 해당 해커는 일학의 쇼핑몰 게시판에 무단으로 얻은 1만명의 개인정보를 게시하기도 했다.
일학은 낚시용품 쇼핑몰을 운영하면서 웹 관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않은 것으로 조사됐다. 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실했다.
이 외에도 SQL 인젝션 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치의무도 위반한 것으로 확인됐다. 개인정보위는 과징금·과태료 부과 결정과 함께 사업자 홈페이지에 해당 사실을 공표하도록 명령했다.




이정윤 기자 leejuyoo@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>