[금융소비자뉴스 박도윤 기자] 개인정보보호 법규를 위반한 LG유플러스 로젠 등 8개 사업자가 3120만원의 과태료를 물게 됐다.
개인정보보호위원회는 28일 전체회의에서 이 같은 내용의 행정처분을 의결했다고 밝혔다.
개인정보위에 따르면 LG유플러스의 경우 임직원 교육시스템 내 일부 페이지가 로그인 없이 접근 가능했고 특수문자 차단 기능을 적용하지 않아 해킹 공격으로 임직원 메일 정보가 다크웹에 게시됐다.
로젠(주)는 택배 영업소장이 개인정보를 조회할 수 있는 계정을 제3자에게 불법 제공하여 고객의 개인정보가 유출됐으며, 대동병원은 누리집 게시판 파일 업로드 취약점으로 인한 웹셸 공격으로 회원 메일정보가 유출됐다.
개인정보위는 이와 별도로 개인정보 안전조치 의무 등을 위반한 디아스타코리아와 바로고도 징계한다고 밝혔다.
개인정보위 조사 결과 여행·숙박 중개 누리집을 운영하는 ㈜디아스타코리아는 해킹 공격으로 이용자 예약 내역이 유출되었는데, 해커는 쿠키 변조 보안취약점을 이용하여 관리자 권한을 획득한 후 관리자페이지에 무단접속하여 개인정보를 유출한 것으로 확인되었다.
디아스타코리아는 개인정보처리시스템을 운영하면서 취약 점검을 소홀히 하고 안전성 확보를 위한 적절한 개선조치를 하지 않아 과징금 8,297만 원, 과태료 360만 원 부과 및 시정명령을 부과받았다.
배달대행 프로그램 ‘바로고’를 운영하는 ㈜바로고는 음식점의 주문 배달을 대행하기 위해 개인정보를 처리하는 수탁자로서 주문배달 정보는 해당 음식점의 배달업무에만 이용하여야 하나, 2014년 4월부터 2022년 4월까지 음식점에서 주문 이력이 없는 주문자의 전화번호를 입력하면 주문자가 이전에 타 음식점에서 이용했던 배달지 주소가 자동 조회·출력되도록 하여 보호법 업무위탁에 따른 개인정보의 처리 제한을 위반하였다.
양청삼 개인정보위 조사조정국장은 “음식점, 판매점, 부동산 등으로부터 개인정보 업무를 위탁받아 처리하는 수탁자는 위탁받은 업무 범위를 초과하여 개인정보를 이용해서는 안 된다”라며 “향후 수탁자의 개인정보보호 법규 위반에 대해 과징금·과태료를 부과할 수 있도록 한 보호법 개정안이 입법 완료되면, 수탁자의 개인정보보호에 대한 책임성이 한층 강화될 것으로 기대한다”고 말했다.