사회
모두투어 개인정보 유출로 7억4천700만원 과징금 부과
모두투어 네트워크가 개인정보 보호를 소홀히 해 306만여 명의 고객 정보가 유출되는 사고가 발생했다.
이에 따라 개인정보보호위원회는 모두투어네트워크에 7억4천700만원의 과징금과 1천20만원의 과태료를 부과했다.
개인정보보호위원회는 12일 전체회의에서 모두투어네트워크가 개인정보보호법을 위반한 사실을 확인하고 처분을 의결했다고 13일 밝혔다.
조사 결과, 해커는 2024년 6월 모두투어네트워크의 웹페이지 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했다.
이후 악성코드를 실행해 회원 및 비회원 306만여 명의 개인정보를 탈취했다. 유출된 개인정보에는 이름, 생년월일, 성별, 휴대전화번호 등이 포함됐다.
개인정보위는 모두투어네트워크가 보안 취약점 점검을 소홀히 해 해커의 웹셸 공격을 막지 못했다고 지적했다.
특히 업로드된 파일의 확장자 검증 및 실행 권한 제한 조치가 부족했으며, 개인정보 유출 시도를 탐지하고 대응하는 접근 통제 조치도 미흡했던 것으로 드러났다.
또한, 모두투어네트워크는 2013년 3월부터 수집한 비회원 316만여 건의 개인정보를 보유기간이 지나도록 파기하지 않았다.
이에 따라 대규모 개인정보 유출로 이어졌다. 이뿐만 아니라, 2024년 7월 개인정보 유출 사실을 인지했음에도 불구하고 정당한 사유 없이 2개월이 지난 9월에야 피해 사실을 통지한 것으로 밝혀졌다.
개인정보보호법에 따르면, 개인정보처리자는 유출 사실을 알게 된 후 72시간 이내에 이를 신고해야 한다.
하지만 모두투어네트워크는 이를 준수하지 않아 추가적인 법 위반 사항이 확인됐다.
개인정보위는 모두투어네트워크에 과징금과 과태료를 부과하는 한편, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다.
또한, 내부 개인정보 보호 관리 체계를 개선하고, 향후 유출 통지 지연 행위가 재발하지 않도록 보완 조치를 요구했다.
개인정보위 관계자는 “개인정보 탈취 위험을 사전에 탐지하고 차단할 수 있도록 보안 정책을 강화해야 한다”며
“유출 사실을 인지하면 즉시 통지해 정보 주체의 2차 피해를 방지해야 한다”고 강조했다.
신혜연 (karung2@sabanamedia.com) 기사제보