하나투어가 정부로부터 3억5천만원 상당의 과징금 및 과태료를 부과받았다. 개인정보보호 관련 위법 행위 때문이다. 그 상당 비중은 지난해(2017년) 9월 해킹 사고로 인해 42만명의 주민등록번호를 유출한 잘못에 따른 '과징금'이다.
과태료는 행정적인 사후제재 수단 성격을 띠며 과거에도 개인정보보호 의무 위반 기업에 부과된 적이 있다. 과징금은 과태료와 달리 법을 어겨 얻은 경제적 이득을 환수해 불이익을 주는 처분으로, 통상 과태료보다 부과액수가 훨씬 많을 수 있다.
행정안전부는 지난 5일 제1차 과징금부과위원회를 열고 하나투어에 개인정보보호법상 기술적·관리적 안전조치 위반 사유로 3억2천725만원의 과징금 처분 등을 의결했다고 6일 밝혔다. 기업 대상으로 기술적·관리적 안전조치 위반에 따른 과징금 부과는 법 제정 이래 최초라고 덧붙였다.
위원회는 지난 1월 26일 제정된 행안부 훈령 제25호 '과징금부과위원회 운영규정'을 근거로 구성됐다. 행안부는 "학식있고 전문성 있는 법조계, 학자를 위원으로 위촉해 구성했다"고 밝혔다.
위원회의 과징금 기본금액 산정과 1차, 2차, 최종산정 등을 거친 심의결과 하나투어는 3가지 과실로 '매우 중대한 위반행위'에 해당하는 과징금을 부과받았다.
첫째는 수탁업체 직원에 대한 관리감독 위반으로 개인정보 DB의 아이디와 비밀번호를 해커가 쉽게 접근할 수 있도록 해 중대한 관리상의 과실을 보인 점이었다. 둘째는 지난 2017년 1월 여행예약고객의 명단이 유출된 사고에서 통지의무를 위반해 과태료 처분을 받은 점이었다. 셋째는 개인정보 DB를 암호화했으나 암호화 키를 동시에 보관하다가 주민번호를 유출 한 점 등 안전성 확보 조치 관련 과실이 중대하다는 점이었다.
■ "접근통제 및 암호화·파기 조치 위반, 위수탁업체 관리감독 소홀"
하나투어는 지난 2017년 9월말 해킹을 당했다. 그로인해 약 42만 명의 주민등록번호가 유출됐다. 행안부는 그해 10월부터 방송통신위원회, 한국인터넷진흥원과 합동조사단을 구성해, 하나투어의 해킹경위와 개인정보 처리, 관리실태 현장조사를 했다.
합동조사단 해킹경위 분석결과, 하나투어는 업무용 PC의 파일과 별도 개발DB에 이관된 형태의 개인정보를 유출했다. 하나투어 고객 46만5천198명, 임직원 2만9천471명을 합한 49만4천669명의 개인정보가 유출됐다. 여기에 42만4천757명의 주민등록번호가 포함돼 있었다.
행안부는 "하나투어의 주민등록번호 유출은 법 제24조제3항에 따른 안전성 확보조치 중 접근통제 및 암호화를 소홀히 해 해커가 쉽게 주민등록번호에 접근해 유출된 것으로 중대한 과실이 인정됐다"고 지적했다.
하나투어는 외부에서 내부 보안망 PC에 접근시, 원격접속프로그램(Rview) 아이디와 패스워드만으로 접근할 수 있게 했다. DB 접근제어 프로그램(Hi-TAM)을 통해 DB서버에 접속할 때도 아이디, 패스워드만으로 가능하게 했다. 추가로 안전한 인증수단을 마련하지 않았고, DB서버 접속시 일정시간만 접속이 유지되게 하는 '최대 접속시간 제한조치(Time Session-Out)'도 하지 않았다. '안전한 접근통제' 위반이었다.
또 하나투어는 위탁받은 유지보수 직원의 업무망 PC에 내부시스템 아이디와 패스워드를 평문으로 저장했다. 주민등록번호가 있는 PC에 엑셀 및 텍스트 파일 일부를 유출했는데, 그 내용을 암호화하거나 파일에 비밀번호를 설정하지 않은 상태로 보관했다. 내부시스템의 아이디와 패스워드, 그리고 엑셀과 텍스트 파일 모두 유출 후 해커가 활용할 수 있게 함으로써 '암호화 저장 및 전송' 조치를 위반한 것이었다.
이밖에도 하나투어는 예약과 여행이 완료된 후 5년이 지난 221만8천257명의 개인정보, 2004~2007년까지 수집해 보관의무대상이 아닌 41만8천403명의 주민등록번호를 파기하지 않고 보관해 오다 합동조사단 현장조사를 통해 적발됐다.
행안부는 이렇게 조사로 확인된 위법사항을 토대로 지난 1월 5일 행정처분을 사전통지했다. 이후 1월 19일까지 하나투어의 의견제출을 접수받아 '제1차 과징금부과위원회'에서 행정처분을 의결, 최종통지했다.
위원회는 42만명의 주민등록번호 유출에 대해서는 3억2천725만원의 과징금을 부과했다. 주민등록번호와 개인정보 미파기에 대해서는 1천800만원의 과태료 처분을 내렸다. 위수탁업체 관리감독 소홀과 접근통제 및 암호화 등 중대 안전조치 위반, 과거 항공기 예약고객 유출로 인한 과태료처분 전력을 감안해 대표자(CEO)와 개인정보보호책임자(CPO) 대상 특별교육 이수, 책임에 상응하는 징계도 권고했다.
■ 행안부 "자율점검 감독체계 강화할 방침"
행안부는 지난 2014년 3월 과징금 제도 도입이래 민간협회와 자율규약을 맺고 사전예방차원의 계도활동, 협회 차원의 자율점검을 수행해 왔다. 지난해 사고 관련 책임으로 하나투어에 과징금 처분을 내린 것을 계기로 자율점검 감독체계도 함께 강화한다는 방침이다.
관련기사
- "비트코인 거래소, 올해도 유력 해킹표적"2018.02.06
- 방통위, 개인정보보호 위반 통신사·영업점에 과태료2018.02.06
- 하나투어 해킹, 주민번호 등 개인정보 100만여건 유출2018.02.06
- 제2 여기어때-인터넷나야나 해킹 막으려면…2018.02.06
심보균 행정안전부 차관은 “개인정보보호법 제정이래 처음으로 부과되는 하나투어 과징금 처분을 통해 기업의 개인정보보호에 대한 사회적 인식을 제고하는 계기가 되기를 바란다"며 "개인정보와 보안에 대한 CEO의 관심과 보안에 대한 투자가 절실한 시점"이라고 지적했다.
이어 "정부는 앞으로도 개인정보 유출사고에 대한 국민의 불안감을 해소하고 기관의 보안의식 제고를 위해 지속적으로 개인정보 계도활동과 실태점검을 강화해 나가겠다"고 덧붙였다.