고학수 개인정보보호위원회 위원장이 23일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제17회 개인정보보호위원회 전체 회의에서 의사봉을 두드리고 있다. [사진 = 개인정보보호위원회]

<이미지를 클릭하시면 크게 보실 수 있습니다>

개인정보보호위원회는 23일 제17회 전체 회의를 열고 개인정보보호 법규를 위반한 온라인 쇼핑몰 네오팜과 일학 등 2개 사업자에 대해 총 1억2317만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 24일 밝혔다.

화장품 등을 판매하는 온라인 쇼핑몰 운영 사업자인 네오팜에선 지난해 해커가 쇼핑몰 관리자 계정을 사전에 획득한 뒤 웹 관리자 페이지에 접속해 쇼핑몰 전체 회원의 개인정보를 빼냈다.

개인정보위 조사 결과에 따르면 해커는 지난해 8월 5일부터 약 2주간 관리자 페이지에 750여회 접속해 네오팜 쇼핑몰 전체 회원인 29만3723명의 개인정보를 탈취했다. 이 과정에서 해커는 44만건의 불법 문자도 발한 것으로 나타났다.

개인정보위는 이같은 대규모 유출 사고가 발생한 이유로 네오팜의 개인정보 처리시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로 로그인이 가능하게 운영되고 있던 점을 꼽았다.

또한 네오팜이 개인정보 취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근권한에 대한 관리도 소홀한 사실과, 유출된 이용자를 대상으로 개인정보 유출 통지를 지연한 사실도 확인됐다.

개인정보위는 네오팜에 과징금 1억517만원과 과태료 720만원을 부과하고 개인정보위 홈페이지에 그 결과를 공표하기로 했다.

낚시용품을 온라인으로 판매하는 사업자인 일학은 지난해 12월 17일부터 이틀간 해커의 에스큐엘(SQL) 삽입 공격을 받아 개인정보가 유출됐다. 해커는 일학의 쇼핑몰 게시판에 1만여명의 개인정보를 게시하기도 했다.

개인정보위에 따르면 일학은 웹 관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템 운영도 부실했던 것으로 확인됐다.

개인정보위는 일학에 과징금 1800만원과 과태료 360만원을 부과하고 사업자 홈페이지에 그 사실을 공표하도록 명령했다.

개인정보위는 “웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보 취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다”라고 밝혔다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]