정안뉴스 안정주 기자 | 개인정보보호위원회는 6월 11일 제13회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 1억 1,242만 원의 과징금 및 1,440만 원의 과태료를 부과하고, 시정명령 및 결과 공표를 의결했다.

 

이들 3개 사업자의 구체적인 위반 내용과 처분 결과는 머크(주)는 제조·판매하는 의약품에 대한 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시하면서, 시스템 오류로 최대 108명의 개인정보가 유출됐다.

 

조사 결과, 머크(주)는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 하여 해당 서비스에 접속하는 이용자가 동일인으로 처리되어, 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있었다. 한편, 머크(주)는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과하여 유출 통지한 사실도 확인됐다.

 

이에 따라 개인정보위는 머크㈜에 과징금 8,000만 원과 과태료 600만 원을 부과하고 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

 

당초 ㈜온플랫에 대한 조사과정에서 동일한 해킹 공격(에스큐엘(SQL) 삽입 공격)으로 같은 대표자가 운영 중인 ㈜디알플러스에서도 유출 사실을 인지하여 함께 조사했고, 각각 최소 80명, 98명의 결제내역 등 개인정보가 유출된 것을 확인했다.

 

개인정보위 조사 결과, ㈜온플랫은 에스큐엘(SQL) 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않았으며, ㈜온플랫과 ㈜디알플러스 모두 외부에서 개인정보처리시스템에 접속하는 경우 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관하지 않은 것으로 밝혀졌다. 아울러, ㈜디알플러스는 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장했으며, 개인정보 유출 신고 및 통지를 지연한 사실도 확인됐다.

 

이에 따라 개인정보위는 ㈜디알플러스에는 과징금 3,242만 원과 과태료 840만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다. ㈜온플랫에는 시정명령과 더불어 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

 

개인정보를 처리하는 사업자는 신규 서비스 출시 전 보안취약점 점검을 철저히 하여야 하고, 에스큐엘(SQL) 삽입 공격처럼 널리 알려진 웹 취약점 공격을 예방하기 위한 적절한 보안조치 등 지속적인 주의가 필요하다고 개인정보위는 당부했다.