[팍스경제TV 박주연 기자] 방송통신위원회가 8일 숙박앱 ‘여기어때’를 운영하면서 이용자의 개인정보를 유출한 ㈜위드이노베이션에 대해 과징금 3억 100만원, 과태료 2500만원, 책임자 징계권고, 위반행위의 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등 엄정한 행정처분을 의결했다. 

방통위는 사업자의 유출을 신고받고 지난 3월 23일부터 과학기술정보통신부·경찰청·한국인터넷진흥원(KISA)등과 함께 현장조사를 실시해, 관련자료 분석 및 재연을 통해 ‘여기어때 마케팅센터 웹페이지’의 취약점을 이용한 ‘SQL인젝션‘ 공격을 통해 해커가 개인정보를 탈취한 사실을 확인 한 바 있다. 

이번 조사과정에서 ㈜위드이노베이션은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반하고 있는 것으로 확인됐다.

정보통신서비스제공자는 서비스 관리 웹페이지 등 개인정보처리시스템에 대해 필요한 최소한의 인력에게만 접근권한을 부여하고, 외부에서 쉽게 접속하지 못하도록 인가되지 않은 접근을 차단하며, 이상접속을 탐지·차단하는 등 정보통신망법에서 정한 접근통제 조치를 취해야 한다.

그러나 ㈜위드이노베이션의 경우 ▲개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않은 점 ▲적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않은 점 ▲해킹을 당한 마케팅센터 웹페이지(newad.goodchoice.kr)에 대해서 웹페이지 취약점 점검을 수행하지 않은 점 등이 확인됐다. 

또한 ▲고객상담사 등에게 파일 다운로드 권한이 있는 관리자페이지 접근권한을 부여하는 등 접근권한을 과하게 부여한 점 ▲인사이동 시 취급자의 접근권한을 지체 없이 변경하지 않아, 해커가 이를 악용해 개인정보 파일을 다운로드 한 점 등 정보통신망법에 따른 접근통제 조치 전반을 소홀히 한 점이 드러났다.
 
방통위는 "보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용된 점, 피해규모가 크고 유출된 개인정보를 활용한 문자발송 등 이용자 추가 피해가 확인된 점 등을 종합적으로 고려해 ㈜위드이노베이션의 위반행위를 '매우 중대한 위반행위'로 보고 과징금을 산정·부과했다"고 밝혔다.

방통위는 기본적인 보호조치 규정조차 지키지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용된 점, 피해규모가 크고 유출된 개인정보를 활용한 문자발송 등 이용자 추가 피해가 확인된 점 등을 종합적으로 고려하여 ㈜위드이노베이션의 위반행위를 ‘매우 중대한 위반행위’로 보고 ‘과징금’을 산정·부과했다. 

아울러, 정보통신망법 개정(‘16.3.22)에 따라 도입된 ’책임자 징계권고‘를 개인정보 유출사고 최초로 적용하기로 하고, ㈜위드이노베이션 대표자 및 책임 있는 임원에 대해 징계를 권고했다. 회사 측은 그 결과를 방통위에 통보해야 한다. 
 

박주연 기자 juyeonbak@paxetv.com 다른기사 보기