고객 306만여명의 개인정보를 유출시킨 모두투어네트워크가 7억 5000여만원의 벌금을 물게 됐다.

개인정보보호위원회는 13일 여행 중개 서비스 ‘모두투어’를 운영하는 모두투어네트워크에 개인정보보호법 위반을 이유로 과징금과 개인정보 보호 관리체계 개선 권고 처분 등을 의결했다고 밝혔다.

지난해 6월 신원미상의 해커는 모두투어네트워크가 운영하는 웹페이지의 파일 업로드 취약점을 이용해 다수의 ‘웹셸 파일’을 올렸다. 웹셜 공격이란 악성코드를 삽입 및 실행해 관리자 권한을 획득하고 개인정보 탈취 등을 행하는 공격 기법으로 해커는 이를 이용해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여 명의 개인정보(한글이름·영문이름·생년월일·성별·휴대전화번호 등)를 탈취했다.

해당 사고는 모두투어네트워크가 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검을 소홀히 하면서 발생했다. 모두투어네트워크는 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.

2013년 3월부터 수집해 온 비회원 316만여건(중복 포함)의 개인정보를 보유기간이 지났음에도 파기하지 않으면서 사고를 더 키웠다. 지난해 7월 개인정보 유출 사실을 인지하고도 정당한 사유 없이 2개월이 지나서야 이를 통지한 사실도 드러났다. 개인정보보호법에 따르면 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 한다.

이에 개인정보위는 모두투어네트워크에 과징금 7억 4700만원과 과태료 1020만원을 부과하고 홈페이지에 처분 사실을 공표하도록 명령했다. 이와 함께 향후 유출통지 지연 행위 등이 재발하지 않도록 내부 개인정보 보호 관리체계 개선을 요구했다.

개인정보위는 “개인정보 탈취 위험을 사전에 탐지하고 차단 정책을 강화해야 한다”며 “정보주체의 2차 피해 예방을 위해 개인정보 유출 사실을 인지하게 되면 즉시 통지하도록 체계를 정비할 필요가 있다”고 당부했다.