행정안전부가 42만 명의 개인정보를 유출한 ㈜하나투어에 개인정보보호법 위반으로 3억 원 이상의 과징금 부과라는 중징계를 6일 내렸다.
지난 2011년 제정된 개인정보보호법 위반으로 과징금을 부과한 것은 이번이 처음이다. 그동안 기업 현장에서 개인정보보호법 위반 행위를 적발해도 계도 중심으로 이뤄져 왔다는 점에서 이번 중징계 조치는 이례적이다.
행안부는 제1차 과징금부과위원회의를 열어 하나투어가 고객 개인정보보호와 관련해 '매우 중대한 위반 행위'를 범했다는 결론을 내렸다.
고객들이 기업에 '민감한' 신상이 담긴 개인정보를 넘겨주는 것은 철저하게 관리해줄 것이라는 암묵적 신뢰가 깔렸는데, 이를 어겼다는 것이다.
특히 과징금부과위는 하나투어의 주민등록번호 유출과 안전성 조치 위반 등을 꼽으며 "주민번호를 암호화해 저장하지 않았고, 안전성 확보 조치 조항을 위반하는 중과실을 범했다"고 밝혔다.
그러면서 "주민번호 10만 건 이상이 유출된 것은 매우 중대한 위반 행위"라고 강조했다.
과징금부과위는 또 하나투어 측에 과징금 3억2천725만 원과 함께 개인정보를 제때 파기하지 않았다는 이유로 과태료 1천800만 원도 부과했다.
아울러 하나투어의 대표와 개인정보 유출 책임이 있는 임원의 징계를 권고하면서 행안부의 개인정보보호 특별교육에 참석할 것을 명령했다.
과징금부과위원회는 법조계·학계 등 민간위원 4명과 행안부 개인정보보호정책관 등 모두 5명으로 구성됐으며, 오프라인 사업자를 대상으로 개인정보보호법 준수 여부를 심의하는 역할을 맡고 있다.
실제로 하나투어에서 고객과 임직원의 개인정보가 빠져나간 경로를 살펴보면 기본적으로 취해야 할 암호화와 추가 인증절차가 제대로 이뤄지지 않는 등 개인정보보호에 관한 '불감증'이 만연했다고 행안부는 전했다.
하나투어는 2004∼2007년 고객 데이터베이스(DB)에서 뽑아낸 개인정보를 업무용 PC에 파일 형태로 허술하게 보관했고, 개발용 DB에도 고객정보를 이관해 보관하고 있다가 해킹으로 개인정보가 무더기 유출됐다.
개인정보보호법에 따라 외부에서 내부 PC에 접근할 것을 대비해 접근통제나 암호화 조치를 해야 했음에도 이를 이행하지 않았다.
또 외부에서 내부 보안망 PC에 접근할 때 원격접속프로그램(Rview)의 아이디와 비밀번호만으로 쉽게 접근할 수 있도록 했고, DB 접근도 안전한 인증수단을 확보하지 않았다.
DB 서버는 접속하면 필요한 일정 시간만 접속이 유지되도록 '최대 접속시간 제한조치(Time Session-Out)'를 설정해야 하는 데 하나투어는 이 조치도 이행하지 않았다.
당시 개인정보 파일과 운영·개발 DB 해킹으로 유출된 개인정보는 100만 건을 훨씬 웃돈다. 유출된 개인정보에는 고객의 이름과 생년월일·전화번호·주민번호·주소·여권 번호 등이 망라돼있다.
고객정보와 함께 유출된 임직원의 개인정보 현황은 더 구체적이다. 주민번호는 물론 최종학력·취미·종교·신장·체중·혈액형·가족정보·병역사항 등 민감한 개인정보가 죄다 해킹으로 빠져나갔다.
한편 행안부는 개인정보보호에 관한 기업의 책임성을 강화하기 위해 개인정보 집단소송제 도입과 사이버 보험제도 의무 가입을 적극적으로 검토하고 있다.
(연합뉴스)