[ 아시아경제 ] 개인정보보호위원회가 12일 전체회의를 열고 여행 중개 서비스 '모두투어' 운영 사업자인 모두투어네트워크에 과징금 7억4700만원, 과태료 1020만원을 부과하기로 의결했다고 13일 밝혔다. 모두투어가 개인정보보호법에 따른 안전조치, 개인정보 파기, 유출 통지 의무 등을 소홀히 한 사실이 확인됐다.

조사 결과 모두투어는 지난해 6월 해커의 '웹셜 공격'(웹페이지 파일 업로드 기능을 통해 시스템에 악성코드를 심고 관리자 권한을 획득하는 공격)으로 회원·비회원 306만여명의 개인정보를 유출한 바 있다. 이 공격으로 한글·영문이름, 생년월일, 성별, 휴대전화번호 등이 빠져나갔다.

개인정보위는 모두투어가 업로드 파일에 대한 취약점 점검·조치에 소홀했기 때문에 웹셸 공격을 예방하기 어려웠다고 봤다. 정보유출 시도를 탐지, 대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다. 또한 모두투어는 개인정보 보유기간이 지났음에도 파기하지 않아 대규모 유출에 영향을 끼쳤다. 2013년 3월부터 수집한 비회원 개인정보 316만여건(중복 포함)을 파기하지 않은 것으로 나타났다.

아울러 모두투어는 해킹 공격 한달 만인 지난해 7월 개인정보 유출 사실을 인지했지만 정당한 사유 없이 지난해 9월에야 개인정보 유출 사실을 통지했다. 보호법상 개인정보 유출 사실을 인지한 뒤 72시간 내 유출 사실을 통지할 의무가 발생한다.

이에 개인정보위는 총 7억5720만 원의 과징금 및 과태료를 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 향후 유출통지 지연 행위 등이 재발하지 않도록 내부 개인정보 보호 관리체계 개선도 요구했다.

개인정보위 관계자는 "웹셸 공격은 잘 알려진 공격이지만 데이터베이스(DB)에 접근이 가능해 피해 정도가 큰 만큼 각별한 주의와 예방이 필요하다"며 "대규모 개인정보 처리 사업자는 불필요한 개인정보를 바로 파기해 혹시 모를 개인정보 유출사고 발생 시 피해규모를 최소화해야 한다"고 당부했다.

전영주 기자 ange@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>