샤넬코리아, 천재교육, 바노바기성형외과를 비롯한 21개 사업자가 개인정보 유출 등에 관한 혐의로 과징금·과태료 처분을 받게 됐다.

 
개인정보보호위원회는 샤넬코리아를 포함해 9개 사업자의 개인정보보호 법규 위반행위에 대한 제재 처분을 심의 의결했다고 28일 밝혔다. 이들 업체에는 총 10억3407만원의 과징금, 1억220만원의 과태료를 부과하고 시정명령과 공표 등 시정 조처를 내렸다.
 
위원회에 따르면 샤넬코리아는 개인정보처리시스템에 접속할 수 있는 관리자 계정의 비밀번호를 '누구나 매우 쉽게 추측할 수 있도록 설정'하는 등 보호에 필요한 조치를 다 하지 않아 8만1654명의 개인정보가 유출됐다. 샤넬코리아의 9개 제휴사의 온라인 장터에서 화장품을 구매한 이용자가 피해를 본 것이다.
 
샤넬코리아는 장기 미이용자의 개인정보를 파기하지 않거나 다른 이용자의 개인정보와 분리해 별도로 저장·관리하지 않은 것으로 드러났다. 위원회는 샤넬코리아가 이용자의 개인정보를 미국 아마존웹서비스(AWS)에 보관하면서 국외로 개인정보를 이전한 사실에 대해 이용자의 동의를 받거나 개인정보 처리방침 등으로 알리지 않았다고 설명했다.
 
천재교과서는 접근 권한이 없는 천재교육이 초등 밀크티 개인 정보처리시스템에 접근할 수 있도록 운영한 것으로 밝혀졌다. 이 때문에 밀크티 이용자 2만3624명의 개인정보가 유출됐다. 이 밖에 천재교육, 지지옥션, 크라운컴퍼니, 핸디코리아, 박코치소리영어훈련소, 에이치제이컬쳐, 디어유 등이 안전조치 의무 위반 등의 혐의로 과태료나 과징금 처분과 함께 시정 명령을 받았다. .
 

의료 분야에서는 바노바기성형외과가 개인정보 유출 사실을 피해자에게 즉시 통지하지 않는 등 보호법 4개 항목을 위반한 것으로 밝혀졌다. 위원회 설명에 따르면 바노바기성형외과는 고객 관리시스템이 랜섬웨어에 감염돼 6251명의 고객에게 협박 문자가 발송되는 유출 사고가 발생했는데도 이를 이용자에게 알리지 않았다.
 
리뉴미피부과 화곡점 등 7개 지점은 보안 시스템의 관리 부실로 해킹 공격을 받아 21만4590건의 고객 이름과 휴대전화 번호 등 개인 정보가 유출됐다. 
 
이를 포함해 대한의학회 연세의료원, 문원의료재단 서울병원 등 12개 사업자에 대해서 위원회는 총 1억223만원의 과징금과 과태료를 부과하고 시정조치를 의결했다고 설명했다.
 
송상훈 개인정보위 조사조정국장은 “최근 해커의 공격으로 인한 개인정보의 대형 유출 사고가 발생하고 있다”며 “업체 스스로 취약점을 주기적으로 확인해 개인정보처리시스템에 대한 불법 접근이 발생하지 않도록 하고 상시 점검해야 한다”고 말했다. 

이병희 기자 yi.byeonghee@joongang.co.kr

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지