"개인정보 보호조치 잘 모르거나 소홀"…쇼핑몰 등 3곳 과태료 2680만원

[이데일리 김국배 기자] 관리자 페이지 접속시 인증 수단을 적용하지 않거나 홈페이지 취약점 점검을 하지 않은 쇼핑몰, 구매대행 업체 등 3곳의 개인정보가 유출돼 총 2680만원의 과태료를 물게 됐다.

개인정보보호위원회는 26일 전체회의를 열고 해외 구매대행 업체 플라이팝콘, 쇼핑몰 피씨유·알럽스킨 등 3개 사업자가 정보통신망법의 개인정보 안전조치 의무를 위반했다며 과태료 부과와 함께 시정명령 처분을 심의·의결했다.

윤종인 개인정보보호위원장이 26일 서울 종로구 정부청사에서 개최된 제2회 전체회의에서 모두발언을 하고 있다. (사진=개인정보위)

개인정보위 조사 결과 3개 사업자는 개인정보처리시스템 접근을 통제하지 않아 해커 공격 등으로 개인정보가 유출된 것으로 확인됐다. 플라이팝콘은 개인정보 유출을 인지하고도 24시간 이내에 신고하지 않았다. 이용자에게 통지조차 없었다. 알럽스킨은 이용자 비밀번호와 주민등록번호를 암호화해 보관하지 않았으며, 보관기간이 지난 개인정보를 즉시 파기하지도 않은 것으로 조사됐다.

윤정태 개인정보위 조사2과장은 “플라이팝콘에선 아이디·통관번호 등 1만5000건, 피씨유에선 이름·전화번호 등 7만건이 유출됐다”며 “알럽스킨의 경우 유출 정보 2400건 가운데 주민등록번호가 800건 정도 포함돼 있었다”고 했다. 과태료는 플라이팝콘 1000만원, 피씨유 600만원, 알럽스킨 1080만원이다.

개인정보위는 내달 중 쇼핑몰 사업자 등이 주로 이용하는 웹호스팅, 클라우드 기업과 만나 개인정보 보호 방안을 논의할 방침이다.

양청삼 개인정보위 조사조정국장은 “온라인 쇼핑몰 등 소규모 정보통신서비스 사업자들이 최소한의 기술적·관리적 보호조치에 대해 잘 모르거나 소홀히 해 개인정보 유출을 초래하는 사례가 상당히 많다”며 “개인정보보호포털에서 제공하는 자가진단 도구와 상담, 기술지원 서비스 등을 적극 활용해 줄 것을 당부드린다”고 했다.

사업자별 위반사항과 시정조치(안) (자료=개인정보위)

한편 개인정보위는 이날 가명정보 활용 우수 사례집을 발간한다고 밝혔다. 이번 사례집에는 우수사례, 아이디어 경진대회 수상작 등 총 17건의 가명정보 결합 사례가 수록됐다. 결합 데이터를 기준으로 보면 △복지 △의료·건강 △통신 △유통·소비 △금융 △교통 △교육 등 7개 분야다.

앞서 개인정보위는 24개 전문 기관을 지정해 가명정보 결합을 추진해왔다. 지난해 말 기준 가명정보 결합 건수는 157건이다. 스타트업, 중소기업의 가명정보 활용을 돕는 ‘가명정보 결합 지원시스템’도 마련한 바 있다. 서울 송파, 강원 원주에 ‘가명정보 활용 지원센터’도 구축해 운영 중이다.