• 306만명 개인정보 유출에도 2개월 지나 통지… 개인정보위 '유출통지 지연' 강력 제재
• 비회원 316만건 개인정보 장기 보유도 문제… 개인정보 파기 의무 위반 적발

개인정보보호위원회(이하 개인정보위)가 여행사 모두투어의 대규모 개인정보 유출 사태와 관련해 총 7억 5,720만 원의 과징금 및 과태료를 부과했다. 개인정보위는 3월 12일 전체회의를 열고 ㈜모두투어네트워크에 대한 제재 처분을 의결했다고 13일 밝혔다.

이번 처분은 지난해 6월 발생한 모두투어 홈페이지 해킹으로 306만여 명의 개인정보가 유출된 사건에 대한 것이다. 개인정보위 조사 결과, 모두투어는 해커의 '웹셸 공격'에 대한 대비가 미흡했던 것으로 드러났다. 웹셸 공격은 웹페이지의 파일 업로드 취약점을 이용해 악성코드를 삽입하고 실행하는 공격 기법으로, 데이터베이스에 직접 접근할 수 있어 피해 규모가 커질 수 있다.

특히 모두투어는 개인정보 유출 사실을 인지하고도 2개월이 지난 후에야 이를 통지한 것으로 밝혀졌다. 개인정보 보호법에 따르면 유출 사실을 인지한 후 72시간 내에 통지해야 한다. 이러한 지연 통지로 인해 정보 주체들의 2차 피해 예방 기회가 줄어들었다는 지적이다.

또한, 모두투어는 2013년 3월부터 수집한 비회원 316만여 건의 개인정보를 보유기간이 지났음에도 파기하지 않고 보관하고 있었다. 이는 개인정보 파기 의무를 위반한 것으로, 이번 대규모 유출 사태의 한 원인이 된 것으로 보인다.

개인정보위는 이번 사태의 심각성을 고려해 모두투어에 7억 4,700만 원의 과징금과 1,020만 원의 과태료를 부과했다. 또한 사업자 홈페이지에 처분 사실을 공표하도록 명령하고, 내부 개인정보 보호 관리체계 개선을 요구했다.

이번 사건은 지난해 9월 모두투어가 뒤늦게 개인정보 유출 사실을 공개하면서 논란이 된 바 있다. 당시 모두투어는 6월 10일 불법 침입 흔적을 발견하고도 한 달이 지난 7월 12일에야 개인정보위에 신고했으며, 그로부터 2개월이 더 지난 9월 13일에 홈페이지를 통해 사과문을 게재했다.

개인정보위 관계자는 "대규모 개인정보 처리 사업자는 불필요한 개인정보를 즉시 파기하고, 유출 사실 인지 즉시 통지가 이루어질 수 있도록 내부 개인정보 보호 체계를 정비해야 한다"고 강조했다.

이번 처분을 계기로 기업들의 개인정보 보호 의식이 높아질 것으로 기대되나, 여전히 많은 기업들이 개인정보 보호에 취약한 실정이다. 전문가들은 기업들이 정기적인 보안 점검과 함께 개인정보 처리 정책을 재검토할 필요가 있다고 조언하고 있다.