방송통신위원회가 지난해 10월 개인정보 유출사고가 발생한 교육 서비스 업체 메가스터디교육에 과징금 2억1천900만원, 과태료 1천만원을 부과했다.
4일 방통위는 위원회 회의를 열고 메가스터디교육의 개인정보보호법 위반행위에 대한 시정조치에 관한 건에 대해 이같이 의결했다.
지난해 7월 메가스터디교육 개인정보처리시스템의 관리자 인증 세션이 탈취돼 회원정보 123만3천859건이 유출되는 사고가 발생한 것에 대한 시정조치다. 세션은 일정 시간 동안 같은 사용자로부터의 요구사항을 하나로 보고 해당 상태를 유지시키는 것을 뜻한다. 해커는 이를 통해 관리자 권한으로 메가스터디교육 회원 정보를 조회, 유출했다.
개인정보처리시스템 침입 차단·탐지 시스템의 설치·운영에 소홀한 점, 개인정보처리시스템 관리자페이지의 최대 접속시간 제한 조치를 하지 않은 점이 개인정보보호법 위반사항으로 적발됐다.
접속시간 제한 조치의 경우 세션이 탈취된 고객대응팀에서 1분 단위로 시스템을 자동으로 불러오도록 해 세션 종료가 이뤄지지 않은 점이 문제가 됐다. 방통위 고시에서는 장시간 접속이 필요한 경우 접속 시간 등을 일지에 기록하도록 하고, 최대 접속 시간을 통상적으로는 10~30분 이내로 정하도록 하고 있다.
방통위는 메가스터디교육에 대해 중대한 위반이라 판단, 관련 매출액의 1천분의 21인 4억8천800만원을 과징금으로 산정했다. 여기에 최근 3년간 과징금 처분을 받은 적이 없다는 점을 감안해 50%를 감경했다. 과태료는 1회 위반에 해당하는 1천만원이 부과됐다.
이날 안건에서 메가스터디교육은 20%의 과징금 추가 감경을 받을 예정이었다. 개인정보 유출 사실을 자진 신고하고, 수사에 협조했다는 점이 감경 사유였다.
그러나 개인정보 유출 사고가 빈번히 발생하고 있는 상황에서 처벌이 엄격해져야 한다는 의견이 제기되면서 추가 감경 비율이 10%로 변경됐다.
김석진 방통위 상임위원은 "전체 연 매출이 2천억원이 넘고, 직원이 600명이 넘는 데다가 회원 수도 150만명이 넘는 큰 회사"라며 "법적 기준에 따라 과징금을 감경한다 치더라도 자진 신고, 수사 협조를 이유로 추가 감경을 20% 적용한다는 것에 대해서는 반대"라고 말했다.
표철수 방통위 상임위원은 "수사에 협조하고 자진 신고하는것은 의무사항"이라며 "추가 감경 비율을 15% 이내로 제한했으면 한다"고 주장했다.
추가 감경을 적용치 말자는 주장도 나왔지만, 이전 처분과의 형평성을 고려해 추가 감경 10%를 적용하는 것으로 의견이 모아졌다.
김재영 방통위 이용자정책국장은 "향후 조사 중인 사항에는 10% 추가감경을 고려하고 있다"고 답했다.
또, 이날 위원회 회의에서는 위치정보를 개인정보보호법에 근거해 처벌하기 위한 '개인정보 및 위치정보의 보호 위반행위에 관한 과태료 부과지침' 전부개정안이 의결됐다.
개인정보와 위치정보 보호 의무를 위반 시 처리되는 행정의 일관성을 확보하기 위함이다. 개정안에서는 현행 개인정보 보호 관련 과태료 부과지침에 위치정보 관련 규정을 추가했다.
다만, 부도 또는 자본잠식이 발생하거나 은행 거래가 정지되는 등 자금 사정이 어려운 경우 과태료를 면제하는 조항은 질서위반행위규제법에 어긋난다는 이유로 원안에서 삭제됐다.
장애인이나 기초생활수급자 등 경제활동이 어려운 계층도 과태료를 일부 감경하거나, 징수를 유예하는 점, 기업이 자본잠식 등 자금 사정이 어려워지더라도 출자를 통해 단기간에 상황이 개선되는 경우가 있다는 점이 고려됐다.
결과적으로 당사자 환경이나 사업규모, 자금 사정, 조사 협조 등에 따른 감경 또는 조사 방해나 위반의 정도에 따른 가중 시 기준금액의 100분의 50 이내에서 차등 적용하는 기준을 마련하고, 함께 사전 통지와 이의제기 절차를 규정했다.
과학기술정보통신부와 방통위, 행정안전부가 개별 운영하던 개인정보 보호 관리체계 인증 제도를 통합하는 '개인정보보호 관리체계 인증 등에 관한 고시' 전부개정안도 의결됐다.
과기정통부 소관인 정보보호 관리체계 인증제도(ISMS), 방통위와 행안부 소관인 개인정보보호 관리체계 인증제도(PIMS)를 통합, '정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)'로 변경하는 것.
관련기사
- 가상통화·O2O 업계 개인정보 운영 실태 점검2018.07.04
- "GDPR은 기술 아닌 법…각국 문화·정서 반영해야"2018.07.04
- 헌재는 왜 '위치정보 추적 위헌' 판결했나2018.07.04
- 위치정보 무단 수집한 애플, 손배 책임 벗었다2018.07.04
ISMS 인증기준 104개와 PIMS 인증기준 86개를 통합해 ISMS-P의 인증기준은 관리체계 수립 및 운영·보호대책 요구사항·개인정보 처리단계별 요구사항 등 3개 영역 102개로 일원화했다.
해당 제도는 고시 발령일부터 시행된다. 시행 후 6개월까지는 기존 제도로 신규·갱신 인증 신청이 가능하다. 향후 과기정통부, 방통위, 행안부가 공동으로 행정예고와 규제개혁위원회 심의를 거쳐 위원회 의결 뒤 개정안을 시행할 예정이다.