대규모 개인정보 유출 혐의로 재판에 넘겨진 하나투어 법인과 개인정보 관리책임자에게 벌금 각 1000만원이 선고됐다. 법원은 고의가 아니었어도 개인정보 보호 조치 소홀에 법적 책임이 있다고 봤다.
6일 서울동부지법 형사4단독 박준민 부장판사는 고객 46만여명과 임직원 3만명가량 개인정보가 유출되도록 한 혐의(정보통신망법 위반)로 하나투어 법인과 김모(48) 하나투어 본부장에게 각 1000만원 벌금형을 선고했다.
재판부는 “검찰이 제출한 증거를 종합하면 피고인에 대해 전부 유죄가 인정된다”면서 “유출된 개인정보 규모나 유출 경위 등을 참작해 형량을 결정했다”고 밝혔다.
하나투어는 2017년 9월 해킹 공격을 받아 고객과 임직원 개인정보 49만건이 유출됐다. 해커는 외주 관리업체 직원이 사용하는 개인 노트북에 침입해 정보를 빼돌렸다. 수사 결과 관리자용 아이디와 패스워드가 이 직원 노트북에 암호화되지 않은 메모장 파일 형태로 보관돼 있었다.
이외에도 하나투어는 외부에서 개인정보처리시스템에 접속할 때 거쳐야 하는 일회용 비밀번호 생성기(OTP), 인증서, 보안토큰 등 추가 인증수단도 도입하지 않은 것으로 드러났다.
한편, 암호화폐 거래소 빗썸과 숙박 중개업체 여기어때 개인정보 관리책임자와 법인도 1심 선고를 앞두고 있다.
오다인기자 ohdain@etnews.com