개인정보위, 개인정보 유출 사업자에 과징금 2300만·과태료 9200만원

5회 전체회의…AWS 등 공용클라우드 이용하다 해킹 사고 빈번
12개는 해킹으로 유출, 4개는 업무상 과실로 유출

 

(서울=뉴스1) 박혜연 기자 = 개인정보보호위원회는 23일 개인정보가 유출된 사업자들에 총 2370만원 과징금과 9200만원 과태료 부과 처분을 의결했다.

개인정보위는 이날 오전 정부서울청사에서 제5회 전체회의를 열고 해킹 또는 업무담당자 과실로 개인정보가 유출된 사업자 16개에 대해 이같이 의결했다고 밝혔다.

이번 조사는 모두 사업자들이 한국인터넷진흥원(KISA)에 유출 사실을 신고함에 따라 진행됐다.

 

16개 사업자 중 해킹으로 유출된 곳은 12개, 업무상 과실로 유출된 곳은 4개였다.

4개 사업자는 아마존 클라우드서비스(AWS)를 이용하다 안전한 인증수단을 적용하지 않아 해커에 관리자 접근 권한(엑세스 키)을 탈취당했다.

5개 사업자에는 데이터베이스 질의 값을 조작해 원하는 자료를 유출하는 'SQL인젝션'이나 웹서버 취약점을 이용해 별도 인증 없이 시스템에 접속, 원격으로 조종해 개인정보를 빼내는 '웹셀' 방식의 공격, 무작위 대입 등 해킹 방식이 동원됐다.

강원도의사회와 한국투자신탁운용, 스태츠칩팩코리아, 제이셋스태츠칩팩코리아는 업무담당자의 실수로 개인정보가 외부에 공개되거나 다른 사람들에게 잘못 전달돼 유출됐다.

이들 16개 사업자에서 빠져나간 개인정보는 약 26만7800여건에 달한다.

 

탈취된 개인정보 중 일부는 다크웹 등에 게시되거나 광고성 스팸메일 등에 이용된 것으로 확인됐다. 주민등록번호가 유출되거나 일부 사업자들은 피해자에게 유출통지조차 하지 않는 등 사례도 발견됐다.

개인정보위는 16개 사업자 모두에 과태료를 부과하는 한편 안전조치를 소홀히 한 징가와 하우빌드, 성보공업에는 과징금도 각각 부과해다.

개인정보위는 AWS와 같은 공용클라우드를 통한 해킹사고가 빈번하게 발생하고 있어 아마존 등 공용클라우드 서비스 제공자와 함께 개인정보보호를 위한 공동 교육 및 홍보를 추진해 나갈 계획이다.

양청삼 개인정보위 조사조정국장은 "개인정보가 유출되지 않도록 사전에 안전조치를 잘하는 것도 중요하지만 사고 이후 피해가 확산되지 않도록 피해자들에게 알리는 것도 중요하다"며 즉시 유출통지를 강조했다.