회원 개인정보가 유출된 보람상조개발 등 보람상조 7개 사업자가 과징금 총 5억 4250만 원과 과태료 1140만 원을 부과받았다. 해당 사업자는 보람상조개발, 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스다.

개인정보보호위원회는 지난 13일 제9회 전체회의를 열고, 개인정보 보호법을 위반한 보람상조 7개 사업자에 대해 이같은 제재와 함께 시정 및 공표 명령을 의결했다고 14일 밝혔다.

개인정보위는 2024년 5월 28일 보람상조개발로부터 개인정보 유출 신고를 접수하고 조사에 착수했다.

보람상조개발은 보람상조리더스 등 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해 왔다.

조사 결과, 보람상조개발은 해당 시스템 관련 접근제어 등 안전성 확보조치를 소홀히 한 것으로 드러났다.

위탁사인 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있지만 이를 충분히 이행하지 않은 것으로 확인됐다.

이에 해커가 홈페이지의 취약점을 이용한 에스큐엘 인젝션(SQL Injection) 공격을 통해 해당 DB에 침입해 이름, 휴대전화번호, 이메일 등 고객의 개인정보를 탈취했다.

또한 보람상조개발이 유출 사실을 인지한 후 정보주체에게 지체 없이 통지해야 하지만 법정 기한을 넘겨 통지한 사실, 보유 기간이 지난 개인정보를 파기하지 않고 보관한 사실도 드러났다.

개인정보위는 보람상조개발에 안전조치의무 위반 등으로 과징금 5억 3100만 원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1140만 원을, 계열사에는 수탁자에 대한 관리·감독 책임을 물어 총과징금 1150만 원 부과 및 처분 내용을 홈페이지에 공표하도록 명령했다.

아울러 그룹 차원의 전반적 개인정보 처리 현황 점검·정비 및 의사결정체계 정비, 위수탁 관계 투명성 확보 등을 내용으로 하는 시정조치 명령을 통해 그룹 전체의 개인정보 보호 수준을 강화하도록 했다.

앞서 보람상조는 지난 2024년 5월 말 홈페이지를 통해 "깊이 사과드린다"며 개인정보 유출 사실을 통지했다.

당시 보람상조는 "본 사안을 인지한 직후 사고 원인을 신속하게 파악해 유관 기관에 이를 신고하고 적극적으로 협조하고 있다"고 밝혔다.

lgirim@news1.kr