'개인정보 유출' 캔바 등 16개사에 과징금·과태료 1억여원

해킹·업무상 실수 등으로 유출…다크웹 게시 피해도
개인정보위, 과징금 2천370만원·과태료 9천200만원 의결
해킹이나 업무 담당자 실수로 개인정보가 유출된 16개 사업자에 과징금 2천370만원과 과태료 9천200만원이 부과됐다. 개인정보보호위원회는 23일 전체회의를 열고 개인정보보호 법규를 위반한 아시아나항공과 SK하이닉스, 캔바 등 16개 사에 대한 과징금·과태료 부과 처분을 의결했다고 밝혔다.

이번 조사는 사업자들이 한국인터넷진흥원(KISA)에 유출 사실을 신고함에 따라 진행됐으며, 개인정보 유출 원인은 크게 해킹(12건)과 업무상 과실(4건)로 드러났다.

◇ 캔바 등 12개 사 안전조치 미흡으로 해킹…4개 사는 업무상 과실
우선 디자인업체 캔바 등 4개 사업자는 아마존 클라우드서비스(AWS)를 이용하면서 안전한 인증수단을 적용하지 않아 해커에게 관리자 접근권한을 탈취당했다. 이로 인한 개인정보 유출 피해 규모는 캔바 23만6천775건, 징가 1만3천57건, 플루크 2천230건, 하우빌드 3천771건으로 집계됐다.

한국화재연구소와 넬슨스포츠, 아시아나항공, SK하이닉스, 성보공업, 휘닉스중앙, 잇올, 디지틀조선일보 등도 안전조치 미흡 등으로 해킹 공격을 받아 개인정보 유출 피해가 발생했다.

강원도의사회 등 4개 사업자의 경우 업무상 실수로 개인정보가 유출된 것으로 조사됐다. 강원도의사회는 홈페이지 유지보수 업체가 실수로 다른 홈페이지에 강원도의사회 선거인명부(3천320명)를 게시했고, 한국투자신탁운용은 웹페이지 개발 실수로 접근 통제가 이뤄지지 않아 온라인 토론회 참가 신청자 명단(2천932명)이 인터넷에서 검색됐다.

스태츠칩팩코리아와 제이셋스태츠칩팩코리아는 담당 직원이 교육 안내 메일을 보내면서 실수로 인사 정보 파일을 잘못 첨부했다.

◇ 탈취 정보 다크웹 게시…보이스 피싱 메일 피해도
탈취당한 개인정보 중 일부는 다크웹 등에 게시되거나, 광고성 스팸 메일 등에 이용된 것으로 확인됐다. 성보공업과 잇올에서 유출된 개인정보는 텔레그램에, 한국화재연구소와 휘닉스중앙, 하우빌드의 유출 정보는 다크웹에 게시됐다.

넬슨스포츠의 경우 해커가 관리자의 메일발송 권한을 이용해 회원들에게 광고성 메일을 보냈으며, 디지틀조선일보에서는 유학 상담을 접수한 일부 학부모에게 보이스피싱 메일이 발송됐다.

주민등록번호가 유출된 사례도 있었으며, 일부 사업자들은 유출 사실도 알리지 않은 것으로 확인됐다.

성보공업에서는 주민등록번호가 포함된 입사 지원서(83건)가 유출됐고, 하우빌드는 권한 없이 주민등록번호를 처리한 것으로 조사됐다.

스태츠칩팩코리아는 주민등록번호를 안전하게 암호화해 관리하지 않았다.

또 캔바, 징가, 플루크, 성보공업, 휘닉스중앙 등 5개 사업자는 개인정보가 유출된 사실을 알고도 즉시 피해자들에게 통지하지 않은 것으로 조사됐다.

개인정보위는 안전조치를 소홀히 하거나 유출통지를 하지 않는 등 법규를 위반한 16개 사업자 모두에게 과태료를 부과했다. 또 안전조치를 소홀히 해 개인정보가 유출된 정보통신서비스 사업자 징가와 하우빌드, 그리고 암호화하지 않은 주민등록번호가 유출된 성보공업에는 과징금도 부과했다.

/연합뉴스