개정보보호위원회는 26일 개인정보보호 법규를 위반한 사업자를 대상으로 총 2680만원 과태료 부과와 시정명령 처분을 심의·의결했다.
해외 구매대행 업체인 '플라이팝콘'과 쇼핑몰 '피시유', '알럽스킨' 등 3개 사업자는 개인정보의 기술적·관리적 보호조치를 다 하지 않아 유출 사고 발생 원인을 제공했다.
개인정보위 조사 결과 3개 사업자 모두 관리자페이지 접속 시 안전한 인증수단을 적용하지 않거나 홈페이지 취약점 점검을 수행하지 않는 등 개인정보 처리 시스템에 대한 접근 통제를 실시하지 않아 해커 공격과 검색엔진 표출 등으로 개인정보가 유출된 것으로 확인됐다.
이와함께 플라이팝콘은 개인정보 유출을 인지한 24시간 이내 유출신고 및 이용자 대상 유출통지 의무도 준수하지 않았다.
알럽스킨은 이용자 비밀번호와 주민등록번호를 안전하게 암호화해서 보관하지 않았고, 보관기관이 경과한 개인정보를 즉시 파기하지 않는 등 추가 위반사항이 확인됐다.
이에 따라 개인정보위는 플라이팝콘에 1000만원, 피시유에 600만원, 알럽스킨에 1080만원 과태료를 각각 부과했다.
양청삼 개인정보위 조사조정국장은 “온라인 쇼핑몰 등 소규모 정보통신서비스 사업자들이 최소한의 기술적·관리적 보호조치에 대해 잘 모르거나 소홀히 해 개인정보 유출을 초래하는 사례가 많다”고 지적했다.
양 국장은 “개인정보보호 포털에서 제공하는 자가진단 도구와 상담, 기술지원 서비스 등을 적극 활용해 개인정보 보호조치에 빈틈이 없는지 확인하고 보완해야 한다”고 당부했다.
최호기자 snoop@etnews.com