개인정보보호위원회는 28일 전체 회의를 열고 이용자 개인정보를 유출한 삼성전자에 과징금 8억7558만원과 과태료 1400만원을 부과하기로 의결했다.
개인정보위는 2020년 1월부터 2021년 5월까지 삼성전자에서 총 6건의 개인정보 유출이 있다는 신고를 받고 조사에 착수했다. 이 가운데 위반 소지가 있는 4건을 심의·의결했다. 삼성전자가 자사 계정 시스템의 데이터베이스 제품을 변경하는 과정에서 제품별 데이터 처리 방식의 차이를 고려하지 않아 시스템 오류가 발생했고 이에 따라 개인정보가 유출(오류 260명, 열람 26명)됐다. 2020년 2~5월 삼성 클라우드 서비스에 사이버 공격이 이어지면서 76개 계정에서 이미지와 동영상이 유출되기도 했다.
개인정보위는 유출이 연속적으로 일어난 삼성전자에 대해 개인정보 보호법상 안전조치 의무 이행 미흡으로 과징금 8억7558만원과 과태료 1400만원을 부과했다. 전반적 보호 체계 점검과 개선 등 재발 방지대책도 주문했다.
홈페이지를 운영하면서 개인정보 안전조치 의무를 소홀히 한 LG헬로비전은 과징금 11억원과 과태료 1740만원을 물게 됐다. 이 회사는 알뜰폰 관련 사이트에서 상담 문의 게시판을 운영했는데 개인정보 관리 시스템 운영 소홀로 해커의 공격을 받아 4만6134명의 개인정보가 유출됐다. 초고속인터넷, 케이블TV 등과 관련된 사이트는 보안 관련 업데이트를 하지 않아 세션 오류로 인해 이용자의 개인정보가 유출됐다. 개인정보 유출 신고와 유출통지를 지연하기도 했다.
세무 서비스 삼쩜삼 운영사인 자비스앤빌런즈는 이용자 동의 없이 개인정보를 수집하고 민감정보를 처리해 과징금 8억5410만원과 과태료 1200만원을 부과받았다.
이 회사는 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인을 하고 소득 정보 수집, 세무 대리인 수임 동의, 환급 신고 대행을 한 사실이 드러났다. 조사 과정 중 절차를 개선해 현재는 환급 신고 대행 시에만 주민등록번호를 수집한 후 회원 탈퇴 시까지 저장·보유하고 있다.
개인정보위는 주민등록번호를 단순 전달 후 파기하고, 파일 등으로 저장·보유하는 행위를 금지하도록 시정조치를 명령했다.
기공 수련, 출판, 운동기구 판매 서비스를 제공하는 타오월드는 침입 차단 시스템의 도입·운영과 취약점 점검을 제대로 하지 않아 해커에게 1만3470명의 이용자 정보를 탈취당했다. 민감 정보에 해당하는 건강 관련 정보를 구체적 안내나 별도 동의 없이 수집·보관한 사실이 드러나 과징금 1054만원과 과태료 1140만원을 부과받았다.
남석 개인정보위 조사조정국장은 "대규모 개인정보를 보유하거나 민감한 개인정보를 처리하는 사업자는 책임감을 갖고 개인정보가 안전하게 보관되도록 기술적, 관리적 보호조치 등 법적 의무사항을 충실히 준수해야 한다"며 "해킹 같은 외부 공격과 내부 원인에 의한 개인정보 유출 등은 주기적인 보안 최신화, 취약점 점검, 상시 교육 등의 노력을 통해 상당 부분 예방이 가능하다"고 말했다.
이승우 기자 leeswoo@hankyung.com
관련뉴스