개인정보위, 안전조치 위반 머크·온플랫·디알플러스에 과징금 1억 1242만 원 부과

개인정보보호위원회는 11일 제13회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 1억 1242만 원의 과징금 및 1440만 원의 과태료를 부과하고, 시정명령 및 결과 공표를 의결했다.

개인정보위에 따르면 머크는 제조·판매하는 의약품에 대한 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시하면서 시스템 오류로 최대 108명의 개인정보가 유출됐다.

조사 결과 머크는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 해 해당 서비스에 접속하는 이용자가 동일인으로 처리돼 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있었다. 머크는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실도 확인됐다.

이에 개인정보위는 머크에 과징금 8000만 원과 과태료 600만 원을 부과하고 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

당초 온플랫에 대한 조사과정에서 동일한 해킹 공격인 에스큐엘(SQL) 삽입 공격으로 같은 대표자가 운영 중인 디알플러스에서도

유출 사실을 인지해 함께 조사했고 각각 최소 80명, 98명의 결제내역 등 개인정보가 유출된 것을 확인했다.

개인정보위 조사 결과 온플랫은 에스큐엘(SQL) 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않았으며 온플랫과 디알플러스 모두 외부에서 개인정보처리시스템에 접속하는 경우 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관하지 않은 것으로 밝혀졌다.

아울러 디알플러스는 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장했으며 개인정보 유출 신고 및 통지를 지연한 사실도 확인됐다.

이에 따라 개인정보위는 디알플러스에는 과징금 3242만 원과 과태료 840만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다. 온플랫에는 시정명령과 더불어 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

개인정보를 처리하는 사업자는 신규 서비스 출시 전 보안취약점 점검을 철저히 해야 하고 SQL 삽입 공격처럼 널리 알려진 웹 취약점 공격을 예방하기 위한 적절한 보안조치 등 지속적인 주의가 필요하다고 개인정보위는 당부했다.