삼성전자와 LG헬로비전이 개인정보보호법 위반 혐의로 개인정보보호위원회로부터 과징금을 부과받았다. 삼성전자는 개인정보 유출사고가 연이어 발생하면서 전사적 재발 방지대책을 수립하라는 시정조치를 내렸다.
개인정보위는 28일 정부서울청사에서 전체회의를 열고 개인정보보호법을 위반한 삼성전자에 8억7558만원, LG헬로비전엔 11억3179만원의 과징금을 부과하기로 의결했다.
개인정보위는 삼성전자에 대해 2020년 1월부터 2021년 5월까지 총 6건의 유출 신고를 받고 조사에 착수, 이 중 4건을 이날 심의·의결했다.
구체적으로 삼성계정 시스템의 데이터베이스(DB) 제품 변경 과정에서 제품별 데이터 처리 방식 차이를 고려하지 않아 시스템 오류가 발생했고, 이용자 개인정보가 유출(오류 260명·열람 26명)됐다. 삼성클라우드 서비스는 2020년 2~5월 사이버 공격을 받아 76개 계정에서 이미지와 동영상 등이 유출되는 사고가 발생했다. 또 삼성닷컴 온라인스토어 시스템에선 개발 오류로 이용자가 타인의 배송정보를 조회하게 돼 개인정보가 유출(오류 62명·열람 19명)됐다.
개인정보위는 유출 사고가 잇따라 발생한 삼성전자에 대해 과징금·과태료(1400만원)을 부과와 함께 전사적 재발 방지대책 수립 등 시정조치를 명했다.
LG헬로비전은 홈페이지를 운영하면서 안전조치의무를 소홀히 하는 등 개인정보보호법을 위반했다. 먼저 헬로모바일·헬로다이렉트몰 홈페이지 ‘일대일(1:1) 상담문의 게시판’을 운영하면서 개인정보처리시스템에 대한 침입차단·탐지시스템 운영을 소홀히했다. 특히 크로스사이트크립트(XSS) 취약점에 대해 조치하지 않아 해커 공격으로 4만6134명의 개인정보가 유출됐다.
또 LG헬로비전 홈페이지를 운영하면서 소프트웨어 개발 회사가 공개한 세션 보안 취약점에 대한 최신화 조치(업데이트)를 하지 않았다. 이로 인해 이용자 개인정보가 유출됐고, 개인정보 유출신고와 통지도 지연했다.
종합소득세 환급 플랫폼 ‘삼쩜삼’을 운영하는 자비스앤빌런즈는 시정명령과 함께 과징금 8억5410만원과 과태료 1200만원 처분을 받았다.
자비스앤빌런즈는 소득정보 등 개인정보를 수집하는 과정에서 처리방침을 통해 포괄 동의를 받으면서 수집 항목을 누락하고 수집 목적·보유기간 등을 불명확하게 고지했다. 근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등에 대한 정보를 수집하면서 민감정보인 건강정보에 대한 별도로 동의받지 않았다. 또 추가 검토가 필요한 경우 세무대리인이 대신 신고하도록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않았다.
아울러 자비스앤빌런즈는 법령에 근거 없이 주민등록번호를 수집·보관한 행위로 개인정보보호법을 위반했다. 다만 주민등록번호 처리 권한을 가진 행정기관에 단순 전달 후 즉시 파기하는 경우 법상 제한된 행위로 보지 않아, ‘주민등록번호 단순 전달 후 파기, 파일 등으로 저장·보유 금지’ 등 시정조치 명령을 받았다.
타오월드는 침입차단시스템 도입·운영과 취약점 점검 등을 소홀히 해 해커에게 1만3470명의 이용자 정보를 탈취당했다. 또 건강 관련 정보를 구체적 안내나 별도의 동의 없이 수집·보관한 사실도 드러났다. 개인정보위는 타오월드에 과징금 1054만원과 과태료 1140만원을 부과했다.
남석 개인정보위 조사조정국장은 “대규모 개인정보를 보유하거나 민감한 개인정보를 처리하는 사업자의 경우, 책임감을 갖고 이용자 개인정보가 안전하게 보관되도록 기술적·관리적 보호조치 등 법적 의무사항을 충실히 준수해야 한다”고 강조했다. 그러면서 “해킹 같은 외부 공격과 내부 원인에 의한 개인정보 유출 등은 주기적인 보안 최신화, 취약점 점검, 상시 교육 등 노력을 통해 상당 부분 예방이 가능하다”고 덧붙였다.
한편, 개인정보위는 내년부터 2026년까지 향후 3년간 개인정보 정책 방향을 담은 ‘개인정보보호 기본계획’을 발표했다. 기본계획엔 ‘국민 신뢰 기반의 디지털 대전환 선도’를 비전으로 △데이터 경제시대 선도 △개인정보 안심사회 구현 △글로벌 데이터 신질서 주도 등 추진전략을 담았다.
조재학 기자 2jh@etnews.com
-
조재학 기자기사 더보기