‘투약기록 관리 서비스 개인정보 유출’ 머크, 과징금 8천만원

[이데일리 임유경 기자] 개인정보보호위원회는 11일 전체회의를 열고 개인정보 보호 법규를 위반한 머크, 온플랫, 디알플러스 3개 사업자에 대해 총 1억1242만 원의 과징금과 1440만 원의 과태료를 부과하고, 시정명령 및 결과 공표를 의결했다고 밝혔다.

머크는 제조·판매하는 의약품에 대한 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시하면서, 시스템 오류로 최대 108명의 개인정보가 유출됐다. 조사 결과 머크는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 해 해당 서비스에 접속하는 이용자가 동일인으로 처리되어, 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있었다. 머크는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실도 확인됐다.

이에 따라 개인정보위는 머크㈜에 과징금 8000만 원과 과태료 600만 원을 부과하고 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하도록 했다.


개인정보위는 온플랫에 대한 조사과정에서 동일한 해킹 공격(SQL 삽입 공격)으로 같은 대표자가 운영 중인 디알플러스에서도 유출 사실을 인지하여 함께 조사했고, 각각 최소 80명, 98명의 결제내역 등 개인정보가 유출된 것을 확인했다. SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적인 SQL 데이터베이스 명령어문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법이다.


개인정보위 조사 결과 온플랫은 SQL 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않았으며, 온플랫과 디알플러스 모두 외부에서 개인정보처리시스템에 접속하는 경우 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관하지 않은 것으로 확인됐다. 아울러, 디알플러스는 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장했으며, 개인정보 유출 신고 및 통지를 지연한 사실도 확인됐다.

이에 따라 개인정보위는 디알플러스에는 과징금 3242만 원과 과태료 840만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다. 온플랫에는 시정명령과 더불어 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.