고학수 개인정보보호위원회 위원장이 지난 28일 정부서울청사에서 열린 2024년 제14회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. 개인정보위 제공
고학수 개인정보보호위원회 위원장이 지난 28일 정부서울청사에서 열린 2024년 제14회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. 개인정보위 제공
개인정보보호법을 위반한 한화호텔앤드리조트, 띵스플로우, 현대자동차 등 3개 업체가 개인정보보호위원회로부터 제재받았다.

개인정보위는 지난 28일 제14회 전체 회의를 열고 3개 사업자에 대해 총 2억1592만원의 과징금과 1560만원의 과태료를 부과하기로 의결했다고 29일 발표했다.

이들은 온라인 서비스를 제공하면서 개인정보보호법에 따른 안전조치 의무, 동의 의무, 개인정보 유출 신고와 통지 의무 등을 위반했다.

한화호텔앤드리조트는 온라인 회원도 쿠폰을 사용한 숙박 예약을 할 수 있는 이벤트를 위해 온라인 예약 절차를 변경했다. 이 과정에서 시스템 개발 과실과 사전 검증 소홀로 회원이 쿠폰을 사용해 예약한 경우 예약자가 아닌 다른 사람의 정보가 최대 1818건 조회되는 오류가 발생했다.

개인정보위는 로그인 절차를 변경하면서 타인의 개인정보 조회 가능성을 제대로 검증하지 않아 안전조치 의무 위반이 있다고 판단했다. 이에 대해 1억8531만원 과징금과 300만원 과태료를 부과하기로 했다.

띵스플로우가 합병한 비트윈어스는 커플 대상 소셜미디어(SNS) ‘비트윈’을 운영하는 사업자다. 이 업체는 만 14세 미만 아동 3만8633명의 개인정보를 법정대리인 동의 없이 수집했다. 개인정보취급자가 개인정보처리 시스템에 접속한 기록을 보존하지 않았고 개인정보 열람 요구에 대해 기간 내 답변하지 않았다.

개인정보위는 띵스플로우에 2732만원 과징금과 360만원 과태료를 부과하면서 14세 미만 아동의 개인정보를 무분별하게 수집한 위반행위가 위중하다고 판단해 처분 결과를 개인정보위 홈페이지에 공표하기로 했다.

현대차는 마케팅 활용 등 홍보를 위한 개인정보 수집·이용에 동의하지 않았다는 이유로 신차 시승 이벤트 서비스 제공을 거부했다. 고객지원 앱(마이현대) 운영에 사용되는 상용소프트웨어의 보안 패치를 즉시 적용하지 않아 다른 사람의 개인정보가 이용자에게 노출됐고, 신고 및 통지를 지연했다. 개인정보위는 과징금 329만원과 과태료 900만원을 부과하고 처분 결과를 홈페이지에 공표하기로 했다.

개인정보위 관계자는 “개인정보를 수집·처리하는 모든 사업자는 홈페이지 등 개인정보 처리시스템의 운영환경과 취약점을 주기적으로 점검, 개선해야 한다”며 “만 14세 미만 아동의 개인정보를 수집할 때는 법정대리인 동의를 받아야 하며, 마케팅 활용 등 홍보를 위한 개인정보 수집·이용에 동의하지 않았다는 이유로 재화, 서비스 제공을 거부해선 안 된다”고 설명했다.

이승우 기자 leeswoo@hankyung.com