[서울=뉴시스]윤정민 기자 = 해킹 공격으로 고객 개인정보를 유출하고 후속 조치마저 소홀했던 보람상조가 5억원대 과징금을 물게 됐다.

개인정보보호위원회는 지난 13일 전체회의를 열고 보람상조개발 등 보람그룹 7개사에 대해 총 5억4250만원의 과징금과 1140만원의 과태료 부과를 의결했다고 14일 밝혔다. 아울러 시정 및 공표 명령도 함께 내렸다.

사건은 2024년 5월로 거슬러 올라간다. 당시 보람상조는 외부 해킹 공격을 받아 홈페이지 가입자의 개인정보가 유출됐다고 공지했다. 유출된 항목은 이름, 휴대전화번호, 이메일, 생년월일, 주소 등 총 5가지다.

보람상조는 2024년 5월 27일 외부 해킹 공격을 알고 같은 달 31일 홈페이지 가입자 개인정보가 유출됐다고 공지한 바 있다. 당시 ▲이름 ▲휴대전화번호 ▲이메일 ▲생년월일 ▲주소 등 5개 항목이 유출됐다고 전했다.

개인정보위 조사 결과 이번 사고로 보람상조 홈페이지 통합 회원과 온라인 상담 신청자 등의 개인정보 2만7882건이 유출됐다. 유출 정보에는 이름, 휴대전화번호, 이메일뿐 아니라 일부 회원의 아이디·비밀번호·생년월일·성별 정보도 포함됐다.

해커는 'SQL 인젝션(Injection)'이라는 기법을 사용했다. 이는 웹사이트의 보안 취약점을 이용해 악의적인 명령어를 입력하고 정보를 빼가는 수법이다. 보람상조개발은 계열사들의 고객 상담 업무를 통합 관리하면서도 접근 제어 등 가장 기본적인 안전 조치를 소홀히 했던 것으로 드러났다.

보람상조개발은 ▲보람상조리더스 ▲보람상조라이프 ▲보람상조피플 ▲보람상조애니콜 ▲보람상조실로암 ▲보람상조플러스 등 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스를 운영해 왔다.

위탁사인 6개 계열사도 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있는데도 이를 충분히 이행하지 않았다.

후속 대응도 문제였다. 현행법상 개인정보가 유출되면 인지 후 72시간 이내에 당사자에게 알려야 한다. 하지만 보람상조개발은 법정 기한을 넘겨 '늑장 통지'를 했다. 심지어 보관 기간이 지난 개인정보를 파기하지 않고 그대로 쌓아둔 사실도 추가로 확인됐다.


개인정보위는 이번 처분과 함께 보람그룹 전체에 강도 높은 시정조치를 명령했다. 그룹 차원의 개인정보 처리 현황을 전면 점검하고, 의사결정 체계와 위수탁 관계의 투명성을 확보하라는 취지다.

개인정보위 관계자는 "계열사가 얽힌 복잡한 환경에서 보안 사각지대가 발생할 수 있음을 경고한 사례"라며 "효율성보다는 처리 체계의 투명성이 더 중요하다"고 강조했다.

이어 "위수탁 등을 통해 개인정보를 통합 처리하는 경우 효율성 못지않게 처리 체계의 투명성 확보가 중요하다"며 "위탁자는 수탁자의 개인정보 처리 현황 및 보호 조치 등을 실질적으로 관리·감독할 책임이 있다"고 강조했다.

한편, 개인정보위는 현재 상조 분야 전반에 대해 개인정보 처리 실태와 관행을 점검하고 있다. 대규모 정보를 다루는 사업자들이 정보를 투명하게 관리하도록 감독을 더욱 강화할 방침이다.


◎공감언론 뉴시스 alpaca@newsis.com