행정안전부가 개인정보를 유출한 하나투어에 3억2725만원 과징금을 부과했다. 대표자와 임원 대상 특별 교육과 징계권고, 1800만원의 과태료 처분을 의결했다.
행안부는 제 1차 과징금부과위원회를 열고 하나투어가 접근통제와 암호화 등 기술적·관리적 안전조치를 위반해 개인정보보호법 제정 이래 최초 과징금을 부과했다고 밝혔다. 하나투어는 지난해 9월 말 해킹으로 약 42만명 주민번호를 유출했다.
행안부는 하나투어 대표와 개인정보보호책임자(CPO) 대상으로 특별교육과 책임에 상응하는 징계를 권고했다. 주민번호와 개인정보 미파기에 대해 과태료를 부과했다.
행정안전부는 지난해 10월부터 방송통신위원회, 한국인터넷진흥원과 공동으로 합동조사단을 구성해 하나투어 해킹경위와 개인정보 처리·관리 실태를 조사했다. 1월 5일 하나투어에 위법사항을 토대로 행정처분을 사전통지 했다. 1월 5일부터 19일 사이 하나투어 의견을 제출을 받아 과징금부과위원회에서 행정처분을 의결했다.
합동조사단 분석결과, 하나투어는 고객 46만5198명과 임직원 2만9471명을 합한 49만4669명 개인정보를 유출했다. 이 중 42만4757명 주민번호가 포함됐다. 하나투어 업무용 PC에 파일 형태로 보관하던 주민등록번호와 별도 개발DB로 이관해 보관하던 정보가 유출됐다.
고객 예약과 여행이 완료된 후 5년이 지난 221만8257명의 개인정보와 2004년경부터 2007년까지 수집하여 보관의무가 없는 41만8403명의 주민등록번호를 파기하지 않고 보관하다 적발됐다. 하나투어 주민등록번호 유출은 법 제24조제3항에 따른 안전성 확보조치 중 접근통제와 암호화 소홀이 원인이다. 해커가 쉽게 주민등록번호에 접근해 유출된 것으로 중대한 과실이 인정됐다. 암호화 저장과 전송조치도 위반했다. 위탁받은 유지보수 직원의 업무망 PC에 내부시스템 ID와 비밀번호를 저장해 해커가 활용할 수 있게 했다.
행정안전부는 지난 2014년 3월 과징금 제도가 도입된 이래 민간협회와 자율규약을 맺고 사전예방차원 계도활동과 협회 차원의 자율점검을 수행했다. 이번 사고로 하나투어에 과징금을 부과하면서 자율점검 감독체계도 함께 강화할 방침이다.
심보균 행정안전부 차관은 “개인정보보호법 제정 이래 처음으로 부과되는 하나투어 과징금 처분을 통해 기업 개인정보보호에 대한 사회적 인식을 높이는 계기가 될 것”이면서 “개인정보와 보안에 대한 CEO의 관심과 보안에 대한 투자가 절실한 시점”이라고 말했다. 그는 “개인정보 유출사고에 대한 국민 불안감을 해소하고 기관 보안의식 제고하고 실태점검을 강화해 나갈 것”이라고 밝혔다.
<(주)하나투어의 유출된 개인정보 내역>
○
<(주)하나투어 법 위반사항(종합)>
김인순 보안 전문기자 insoon@etnews.com