개인정보 보호위원회

개인정보위, 안전조치 의무를 위반한 3개 사업자 제재

- 신규 서비스 출시 전 취약점 점검 철저 및 널리 알려진 웹 취약점에 대해서도 지속적 주의 당부

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 6월 11일(수) 제13회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자*에 대해 총 1억 1,242만 원의 과징금 및 1,440만 원의 과태료를 부과하고, 시정명령 및 결과 공표를 의결하였다.

   * 머크㈜ : 의약품을 제조·판매하면서 의약품 투약기록 관리 등 편의성 서비스 운영 / ㈜온플랫 : 온라인 결제대행 서비스 수탁 운영(수탁자) / ㈜디알플러스 : 온라인 중고차 매매 중개 서비스 운영

  이들 3개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다.

  < 머크㈜ : 과징금 8,000만 원과 과태료 600만 원 부과, 결과 공표 >

  머크(주)는 제조·판매하는 의약품에 대한 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시하면서, 시스템 오류로 최대 108명의 개인정보가 유출되었다.

  조사 결과, 머크(주)는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 하여 해당 서비스에 접속하는 이용자가 동일인으로 처리되어, 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있었다. 한편, 머크(주)는 개인정보 유출 인지 후 정당한 사유 없이 24시간*을 경과하여 유출 통지한 사실도 확인되었다.

   * (구) 보호법 적용 사건으로, 정보통신서비스 제공자는 인지 후 24시간 이내 유출 통지하여야 함

  이에 따라 개인정보위는 머크㈜에 과징금 8,000만 원과 과태료 600만 원을 부과하고 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 하였다.

  < ㈜디알플러스 및 ㈜온플랫 : 과징금 3,242만 원과 과태료 840만 원 부과, 결과 공표(이상 ‘㈜디알플러스), 시정명령, 결과 공표(이상 ’㈜온플랫‘) >

  당초 ㈜온플랫에 대한 조사과정에서 동일한 해킹 공격(에스큐엘(SQL) 삽입 공격*)으로 같은 대표자가 운영 중인 ㈜디알플러스에서도 유출 사실을 인지하여 함께 조사하였고, 각각 최소 80명, 98명의 결제내역 등 개인정보가 유출된 것을 확인하였다.

   * 에스큐엘(SQL, Structured Query Language) 삽입 공격 : 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법

  개인정보위 조사 결과, ㈜온플랫은 에스큐엘(SQL) 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않았으며, ㈜온플랫과 ㈜디알플러스 모두 외부에서 개인정보처리시스템에 접속하는 경우 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관하지 않은 것으로 밝혀졌다. 아울러, ㈜디알플러스는 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장하였으며, 개인정보 유출 신고 및 통지를 지연한 사실도 확인되었다.

  이에 따라 개인정보위는 ㈜디알플러스에는 과징금 3,242만 원과 과태료 840만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 하였다. ㈜온플랫*에는 시정명령과 더불어 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 하였다.

   * (구) 보호법 적용 사건으로, 수탁자의 경우 시정명령 등만 가능하여 재발방지 대책 등 부과

  < 이번 조사·처분의 의의 >

  개인정보를 처리하는 사업자는 신규 서비스 출시 전 보안취약점 점검을 철저히 하여야 하고, 에스큐엘(SQL) 삽입 공격처럼 널리 알려진 웹 취약점 공격을 예방하기 위한 적절한 보안조치 등 지속적인 주의가 필요하다고 개인정보위는 당부했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 지한구(02-2100-3123), 허재형(02-2100-3129)