개인정보 유출사고가 발생한 숙박앱 ‘여기어때’ 운영업체 위드이노베이션에 과징금 3억100만원과 과태료 2500만원이 부과됐다.
또한 개인정보 유출사고 최초로 책임자 징계가 권고됐고 위반행위의 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등의 행정처분이 의결됐다.
방송통신위원회는 8일 전체회의를 개최하고 숙박앱 ‘여기어때’를 운영하면서 이용자의 개인정보를 유출한 위드이노베이션에 대해 이같이 의결했다고 밝혔다.
방통위는 사업자의 유출신고를 받고 지난 3월23일부터 현장조사를 실시해 ‘여기어때 마케팅센터 웹페이지’의 취약점을 이용한 ‘SQL인젝션’ 공격을 통해 해커가 개인정보를 탈취한 사실을 확인 한 바 있다.
해커에게 유출된 개인정보는 ‘여기어때’ 서비스 이용자의 숙박예약정보 323만9210건과 회원정보 17만8625건, 이용자 기준 중복제거 시 97만1877명으로 파악됐다.
이중 유출된 숙박이용내역을 악용해 음란문자 4817건이 발송된 것으로 나타났다.
이번 조사과정에서 위드이노베이션은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반한 사실이 확인됐다.
개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않았으며 적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않은 것이다.
또한 해킹을 당한 마케팅센터 웹페이지(newad.goodchoice.kr)에 대해 웹페이지 취약점 점검을 수행하지 않았고 고객상담사 등에게 파일 다운로드 권한이 있는 관리자페이지 접근권한을 부여하는 등 접근권한도 과하게 부여하고 있었다.
인사이동 시에는 취급자의 접근권한을 지체 없이 변경하지 않아 해커가 이를 악용해 개인정보 파일을 다운로드한 점 등 정보통신망법 제28조제1항에 따른 접근통제 조치 전반을 소홀히 한 행위 역시 확인됐다.
방통위는 위드이노베이션의 위반행위를 ‘매우 중대한 위반행위’로 보고 과징금을 산정·부과하는 한편 정보통신망법 개정에 따라 도입된 ’책임자 징계권고‘를 개인정보 유출사고 최초로 적용해 대표자와 책임 있는 임원에 대한 징계를 권고하고 그 결과를 방통위에 통보할 것을 의결했다.
이효성 방통위원장은 “O2O서비스의 경우 사생활과 관련된 민감정보를 수집·이용하는 경우가 많아 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안투자나 개인정보 보호를 위한 노력을 병행해야 한다”고 강조했다.
