세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
하나투어, 개인정보 유출로 과징금·CEO교육 등 행정처분
  |  입력 : 2018-02-07 09:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
하나투어: 과징금 3억2,725만원, CEO와 CPO 특별교육, 과태료 1,800만원 처분
접근통제 및 암호화 소홀, 수탁사 관리 소홀 등 안전성 확보조치 위반으로 중과실


[보안뉴스 김경애 기자] 하나투어가 2017년 9월말 해킹으로 개인정보가 유출돼 행정처분을 받았다.

[표=행정안전부]


지난 5일 개최된 ‘제1차 과징금부과위원회’에서 하나투어에 과징금 3억2,725만원, 대표자(CEO)와 개인정보보호책임자(CPO) 등 임원대상 특별교육 징계권고, 주민번호와 개인정보 미파기에 대해 1,800만원의 과태료 처분을 내렸다.

행안부는 2017년 10월부터 방송통신위원회, 한국인터넷진흥원과 공동으로 ‘합동조사단’을 구성해 해킹경위 등을 분석한 결과, 하나투어는 고객 465,198명과 임직원 29,471명을 합한 494,669명의 개인정보를 유출했다. 이중에는 424,757명의 주민등록번호가 포함됐다.

하나투어는 업무용 피시(PC)에 파일 형태로 보관하던 주민번호와 그 밖의 개인정보, 별도의 개발DB로 이관해 보관하고 있던 개인정보가 유출됐다. 또한, 고객의 예약과 여행이 완료된 후 5년이 지난 2,218,257명의 개인정보와 2004년경부터 2007년까지 보관의무가 없는 418,403명의 주민등록번호를 수집해 파기하지 않고 보관하다가 적발됐다.

[표=행정안전부]


특히, 하나투어의 주민번호 유출은 법 제24조제3항에 따른 안전성 확보조치 중 접근통제 및 암호화를 소홀로 주민번호가 유출돼 중대한 과실이 인정됐다.

1. 안전한 접근통제 위반
접근통제 위반은 △해커가 외부에서 내부 보안망 PC에 접근시 원격접속프로그램(Rview)의 아이디와 비밀번호를 확보해 추가인증 없이 접근 △DB접근제어 프로그램인 Hi-TAM을 통해 DB서버에 접속을아이디와 비밀번호만으로 접속 가능(안전한 인증수단 미확보) △DB서버 접속시 ‘최대 접속시간 제한조치(Time Session-Out)’ 위반 사항이 포함됐다.

2. 암호화 저장 및 전송조치 위반
암호화 저장 및 전송조치 위반은 △위탁받은 유지보수 직원의 업무망 PC에 내부시스템의 아이디와 비밀번호 평문저장해 해커가 활용 △주민번호가 있는 PC에 엑셀 및 텍스트 파일의 일부 암호화 또는 비밀번호를 설정하지 않은 상태로 보관하다가 유출됐다.

‘과징금부과위원회(위원장 임종인)’ 심의결과에 따르면 하나투어는 과징금 기본금액 산정과 1차·2차·최종산정에 있어 ①수탁업체 직원에 대한 관리감독 위반으로 개인정보 DB의 아이디와 비밀번호를 해커가 쉽게 접근할 수 있도록 해 중대한 관리상의 과실을 보인 점 ②2017년 1월 여행예약고객의 명단이 유출된 사고에서 통지의무를 위반해 과태료 처분을 받은 점 ③개인정보 DB를 암호화했으나 암호화 키를 동시에 보관하다가 주민번호를 유출 한 점 등 안전성 확보를 위한 과실의 정도가 중대해 ‘매우 중대한 위반행위’에 해당하는 과징금을 부과하게 됐다.

▲하나투어 행정처분[표=행정안전부]


행안부는 현장서 확인된 위법사항 행정처분을 1월 5일 사전통지, 하나투어의 의견제출(1월 5~1월 19일) 접수, ‘제1차 과징금부과위원회’에서 행정처분 의결 및 최종통지했다. 이에 따라 접근통제·암호화 등 기술적·관리적 안전조치 위반이 드러나 개인정보보호법 제정 이래 최초로 과징금이 부과됐다.

행안부는 지난 2014년 3월 과징금 제도가 도입된 이래 민간협회와 자율규약을 맺고 사전예방차원의 계도활동과 협회 차원의 자율점검을 수행했으나, 이번 사고로 하나투어에 과징금을 부과하면서 자율점검 감독체계도 함께 강화할 방침이다.

심보균 행안부 차관은 “개인정보보호법 제정이래 처음으로 부과되는 하나투어 과징금 처분을 통해 기업의 개인정보보호에 대한 사회적 인식을 제고하는 계기가 되기를 바란다. 특히, 개인정보와 보안에 대한 CEO의 관심과 보안에 대한 투자가 절실한 시점”이라며, “정부는 앞으로도 개인정보 유출사고에 대한 국민의 불안감을 해소하고 기관의 보안의식 제고를 위해 지속적으로 개인정보 계도활동과 실태점검을 강화해 나가겠다”고 밝혔다.

한편 ‘과징금부과위원회’는 행안부가 행정처분의 공정성 등을 위해 ‘과징금부과위원회 운영규정’을 제정(행정안전부 훈령 제25호, 2018년 1월 26일)해 구성했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술