세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
여기어때, 개인정보 유출로 과징금 3억원...최초로 책임자 징계 권고
  |  입력 : 2017-09-09 14:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
과징금 3억 100만원, 과태료 2,500만원, 시정명령 공표 등 처분
개인정보 유출사고 최초로 책임자 징계 권고


[보안뉴스 김경애 기자] 개인정보를 유출한 숙박앱 ‘여기어때’의 사업자 위드이노베이션이 8일 방송통신위원회(위원장 이효성, 이하 ‘방통위’)로부터 △과징금 3억 100만원 △과태료 2,500만원 △책임자 징계권고 △위반행위의 중지 및 재발방지대책 수립 시정명령 △시정명령 처분사실 공표 등의 행정처분을 받았다.

[자료=방송통신위원회]


해커에게 유출된 개인정보는 ‘여기어때’ 서비스 이용자의 숙박예약정보 3,239,210건과 회원정보 178,625건(이용자 기준 중복제거 시 총 971,877명)으로 파악됐다. 이중 유출된 숙박이용내역을 악용해 음란문자 4,817건이 발송된 것으로 드러났다.

방통위는 사업자의 유출신고를 받고 지난 3월 23일부터 과학기술정보통신부·경찰청·한국인터넷진흥원(KISA)등과 함께 현장조사한 결과, ‘여기어때 마케팅센터 웹페이지’의 취약점을 이용한 ‘SQL 인젝션‘ 공격을 통해 해커가 개인정보를 탈취한 것을 확인했다고 밝혔다.

이번 조사과정에서 위드이노베이션은 접근통제, 접속기록 보존, 암호화, 유효기간제 등 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’)에 따른 개인정보 보호조치 규정 다수를 위반한 것으로 드러났다.

특히, 정보통신서비스제공자는 개인정보의 안전한 보관을 위해 서비스 관리 웹페이지 등 개인정보처리시스템에 대해 필요한 최소한의 인력에게만 접근권한을 부여하고, 외부에서 쉽게 접속하지 못하도록 인가되지 않은 접근을 차단해야 한다. 또한, 이상접속을 탐지·차단하는 등 정보통신망법에서 정한 접근통제 조치를 취해야 한다.

그러나 위드이노베이션은 △개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않은 점 △적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리 시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않은 점 △해킹을 당한 마케팅센터 웹페이지에 대해 취약점 점검을 수행하지 않은 점 △고객상담사 등에게 파일 다운로드 권한이 있는 관리자페이지 접근권한을 부여하는 등 접근권한을 과하게 부여한 점 △인사이동 시 취급자의 접근권한을 지체 없이 변경하지 않아 해커가 이를 악용해 개인정보 파일을 다운로드 한 점 등 정보통신망법 제28조제1항에 따른 접근통제 조치 전반을 소홀히 한 점이 확인됐다.

방통위는 위와 같은 보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용된 점, 피해규모가 크고 유출된 개인정보를 활용한 문자발송 등 이용자 추가 피해가 확인된 점 등을 종합적으로 고려해 위드이노베이션의 위반행위를 ‘매우 중대한 위반행위’로 보고 과징금을 산정·부과했다.

아울러 지난해 3월 정보통신망법 개정에 따라 도입된 ’책임자 징계권고‘를 개인정보 유출사고 최초로 적용해 위드이노베이션 대표자 및 책임 있는 임원에 대해 징계를 권고하고 그 결과를 방통위에 통보하도록 의결함으로써 개인정보 유출에 대한 정보통신서비스 제공자의 책임을 강조했다.

이효성 방통위원장은 “O2O서비스의 경우 사생활과 관련된 민감정보를 수집·이용하는 경우가 많으므로, 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안 투자나 개인정보 보호를 위한 노력을 병행하길 바란다”면서 “방통위도 취약분야에 대한 사전점검 및 위반업체에 대한 보다 엄정한 제재를 통해 이용자 피해를 줄여 나가도록 노력하겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)