개인정보보호위원회가 국내 이용자 2만3000여명의 개인정보를 유출한 '페이팔'에 9억여원의 과징금과 과태료를 부과했다.
개인정보위는 지난 25일 제17회 전체회의를 열고 싱가포르 소재 온라인 간편결제 서비스업체 페이팔에 대해 과징금 9억600만원과 과태료 1620만원을 부과하기로 의결했다.
개인정보위는 2021년 12월 페이팔이 송금 기능 해킹으로 이름, 국가코드, 프로필 사진 등 개인정보 2만2067건이, 또 내부 직원이 이메일 피싱을 당해 가맹점주 등 1186명의 이름, 업무용 전자우편·전화번호·주소가 유출됐다는 신고를 받아 조사에 착수했다
올해 1월엔 크리덴셜 스터핑 공격을 받아 336명의 개인정보(이름·생년월일·주소·핸드폰 번호)를 유출됐다는 신고가 추가로 접수됐다. 크리덴셜 스터핑 공격은 사전에 확보한 아이디와 비밀번호 정보를 무작위로 대입해 로그인을 시도하는 방식이다.
조사 과정에서 페이팔은 특정 아이피(IP)에서 반복적으로 접근해 개인정보가 유출됐음에도 이를 미리 탐지·차단하지 못하는 등 개인정보처리시스템에 대한 침입 차단과 침입탐지시스템 운영을 소홀히 한 것이 드러났다. 유출 사고에 대한 통지·신고를 지연한 사실도 함께 확인됐다.
페이팔 측은 다수의 정보보호 관련 인증 취득, 국제 보안표준 마련 기여 등 개인정보보호를 위한 노력을 펼쳤다고 소명했지만, 개인정보위는 받아들이지 않았다.
원세연 개인정보위 조사1과장은 “전 세계에서 서비스를 제공하는 글로벌 기업으로 사회 통념상 합리적으로 기대 가능한 정도의 보호조치를 충분히 했다고 하기 어렵다고 판단했다”며 “글로벌 사업자가 국외에서 한국 이용자의 개인정보를 처리하는 경우라도 우리 개인정보보호법에서 요구하는 충분한 조치를 다 할 필요가 있다는 것을 다시 한 번 환기하는 계기가 될 것”이라고 밝혔다.
아울러 개인정보위는 개인정보보호법을 위반한 자동차공임나라(자동차 정비 프랜차이즈업)·오브콜스(청첩장 제작판매)·와이엘랜드(알뜰폰 이동통신 서비스) 등 3개 사업자에 대해 총 1억9719만원의 과징금과 2730만원의 과태료를 부과했다.
자동차공임나라와 오브콜스는 안전조치의무 소홀로 인해 각각 72만8680명, 24만1241명의 이용자 개인정보가 해킹으로 탈취됐다. 두 사업자 모두 개인정보 유출 통지를 지연한 사실도 드러났다.
와이엘랜드는 관리자페이지 접속 과정에서 2차 인증 및 아이피(IP) 주소 제한 등 조치 없이 아이디(ID)와 비밀번호만으로 접근이 가능하도록 운영해 해킹으로 이용자 개인정보(22만9600명)가 탈취됐다. 또 개인정보 유출 통지를 지연했으며, 보유 목적이 종료된 이용자 개인정보를 파기하지도 않았다.
지난달 15일 시행된 개정 개인정보보호법의 과태료 면제 규정을 적용한 첫 사례도 나왔다. 개인정보위는 개인정보보호법을 위반했으나 정도가 경미하고 적극 시정한 소상공인 등 5명과 개인 15명에게 과태료를 면제하는 대신 경고 조치를 내렸다.
조재학 기자 2jh@etnews.com
