개인정보보호위원회(이하 개인정보위)는 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 3개 사업자에 대해 총 2억3천199만원의 과징금과 1천620만 원의 과태료 부과 및 개선권고를 하기로 의결했다고 12일 밝혔다.
개인정보보호 법규를 위반한 3개 사업자는 슈나이더일렉트릭코리아·신일전자·국민은행이다.
개인정보위 조사 결과 슈나이더일렉트릭코리아와 신일전자는 안전조치의무를 소홀히 해, 해킹으로 이용자 개인정보와 관리자 계정이 탈취된 사실이 확인됐다.
이들은 정보통신망을 통한 불법적인 접근을 방지하기 위한 침입 차단·탐지 시스템 운영이 부실한 것으로 나타났다. SQL 인젝션 공격을 예방하기 위한 홈페이지 입력값 검증 절차가 마련되지 않았으며 개인정보취급자의 비밀번호 암호화가 이뤄지지 않았다.
신일전자는 개인정보 수집 당시 명시한 보유기간을 경과한 개인정보를 파기하지 않은 사실과 개인정보 유출 통지를 지연한 사실도 추가로 밝혀졌다.
이들 2개 사업자에는 개인정보 유출과 개인정보보호 법규 위반에 따른 과징금과 과태료가 부과되었다.
슈나이더일렉트릭코리아는 과징금 799만원과 과태료 420만원, 신일전자는 과징금 2억2천400만원, 과태료 1천80만원이 부과됐다.
국민은행은 IP, 도메인, URL 등 개인정보 수집 관련해 정보주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 사실이 확인됐다.
관련기사
- 개인정보위, 사전적정성 검토제 시범운영 개시2023.10.11
- 개인정보위 "사회 전반 개인정보 가치 확대 목표"2023.09.15
- 15일 시행 개인정보 보호법, 국민 정보주권 보장2023.09.06
- 개인정보위 "국민 주도 마이데이터 생태계 구축 박차”2023.08.17
이 업체는 지난 4월 필수·선택 동의 구분 등 시정 개선을 완료해 과태료 120만원이 부과됐다.
개인정보위원회 담당 부서 조사조정국 책임자는 “유출 사고에서 공통적 원인이 된 SQL 인젝션 공격의 경우, 위험성이 매우 높아 개인정보처리자 등의 지속적인 주의가 필요하다”며 “시큐어 코딩과 데이터베이스(DB) 보안 등의 안전조치의무를 충실히 이행하는 것이 중요하다”고 말했다.
