개인정보보호위원회가 지난 26일 전체회의를 열고 개인정보보호 법규를 위반한 호텔스컴바인과 머니투데이방송에 과징금 등을 부과하기로 의결했다.
우선 개인정보위는 한국 이용자의 개인정보를 유출한 호텔스컴바인에 9450만원의 과징금과 1600만 원의 과태료를 부과하고, 처분 결과를 개인정보위 홈페이지에 공표하기로 했다.
호텔스컴바인은 2013년 호텔 예약플랫폼 개발 당시 '예약정보'만 조회 가능한 접근권한만으로 '예약정보+카드정보'까지 조회 가능한 계정을 추가로 생성할 수 있도록 시스템을 잘못 설계한 것으로 드러났다.
해커가 피싱 수법으로 아이디·비밀번호를 탈취해 호텔스컴바인 시스템에 접속했고 카드정보까지 접근할 수 있는 계정을 생성했다. 그 결과 한국 이용자 1246명의 이름, 이메일 주소, 호텔 예약정보, 카드정보가 조회·유출됐다. 또 유출 통지와 신고를 뒤늦게 한 사실도 확인됐다.
머니투데이방송은 6778만원의 과징금과 1140만원의 과태료, 처분 결과 공표 등 처분을 받았다.
머니투데이방송이 운영 중이던 광고 공모전 사이트가 해커의 에스큐엘 주입(SQL 인젝션) 공격을 받아 관리자 계정 및 회원 개인정보(13만3633건, 중복 포함)가 유출됐다. 안전조치 의무도 준수하지 않았으며 탈퇴한 회원의 정보를 파기하지 않고 보관한 사실도 확인됐다. 또 개인정보 유출 통지도 지연했다.
아울러 개인정보위는 이번 전체회의에서 '온라인플랫폼 주문배달 분야 민관협력 자율규제' 추진 성과도 보고했다.
민관협력 자율규제는 개인정보위가 온라인플랫폼 분야를 대상으로 2022년 도입해, 여러 형태의 사업자가 한데 엮여 활동하는 구조인 온라인플랫폼이 개인정보 환경 변화에 유연하게 대응할 수 있도록 하기 위한 제도다. 주문배달 분야 자율규약은 지난해 2월 전체회의에서 의결돼 시행됐다. 우아한형제들(배달의민족), 위대한상상(요기요), 쿠팡(쿠팡이츠)를 비롯해 바로고(바로고), 부릉(부릉) 등 13개 기업이 참여하고 있다.
이번에 보고한 성과를 살펴보면 주문배달 플랫폼을 이용하는 음식점 고객뿐만 아니라 그간 사각지대에 있었던 음식점과 배달원 개인정보 안전조치 수준이 크게 강화됐다.
우선 고객이 주문한 음식이 배달이 완료되면 최대 24시간 이내 고객 개인정보를 가림조치(마스킹)하고, 음식점·배달원 등이 안전한 인증수단을 통해 개인정보 처리시스템에 접속하도록 했다. 또 주문중개플랫폼사와 주문통합관리시스템사 및 배달대행플랫폼사 간 데이터 전송 보호조치도 강화했으며, 접속기록 관리 기능을 주문·배달 시스템에 구현했다. 음식점 종사자와 배달원에게 개인정보 교육자료도 제공했다.
개인정보위는 주문배달 분야 민관협력 자율규제 시행 1년에 따른 우수사례를 참여사들에 공유하고, 우수 참여사에 대해 정부포상, 법규 위반 처분 시 과징금·과태료 감경 등 혜택을 제공할 계획이다.
조재학 기자 2jh@etnews.com
