송경희 개인정보보호위원회 위원장이 5월13일 서울 종로구 정부서울청사에서 전체회의를 열고 모두발언을 하고 있다. [사진=개인정보위]

[디지털데일리 김보민기자] 해킹 공격으로 고객 개인정보를 유출한 보람상조에게 5억원대 과징금이 부과됐다.

개인정보보호위원회는 전날 전체회의를 열고 개인정보보호법을 위반한 보람상조 7개 사업자에 과징금 총 5억4250만원과 과태료 1140만원을 부과하기로 의결했다고 14일 밝혔다.

조사에 따르면 보람상조개발은 보람상조리더스 등 그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해왔다. 그러나 해당 시스템에 필요한 접근제어와 안전성 확보 조치를 소홀히 한 것으로 확인됐다. 위탁사 6개 계열사의 경우 개인정보 교육과 감독 의무를 이행하지 않을 것으로 나타났다.

해커는 홈페이지 취약점을 이용한 'SQL인젝션' 공격을 감행해 해당 DB에 침입해 이름, 휴대전화번호, 이메일 등 고객 개인정보를 탈취했다. SQL인젝션은 웹 애플리케이션 보안 취약점을 이용해 악의적인 SQL 구문을 입력한 뒤 DB를 조작하거나 정보를 탈취하는 해킹 기법이다.

보람상조가 유출 사실을 인지한 후 정보주체에게 즉각 통지해야 하나 법정 기한을 넘겨 통지한 사실도 드러났다. 보유기간이 경과한 개인정보를 파기하지 않고 보관한 점도 확인됐다.

한편 개인정보위는 지난해 대규모 보안 사고로 제재한 기업과 기관을 대상으로 시정명령에 대한 점검 결과도 발표했다. 해당 기간 유출 규모 1위인 SK텔레콤(약 2300만건)과 인크루트(약 720만건)도 대상이었다.

SK텔레콤은 이동통신망 내 개인정보처리시스템 식별 및 전수점검, 방화벽 정책 개선, 유심 인증키 및 중요정보 암호화 등 안전조치를 강화한 것으로 나타났다. 아울러 개인정보보호책임자(CPO)가 IT, 인프라 등 영역 제한 없이 개인정보 자산을 관리 감독하도록 조직을 재정비했다. 인크루트는 추가 인증체계를 마련하고 비정상 트래픽 탐지 정책을 개선해 보안을 강화했다.

개인정보위는 지난해 11월 공공기관 집중관리시스템을 대상으로 3년에 걸쳐 전수 점검도 마무리했다. 시정권고를 받은 38개 기관 중 33개 기관이 이행 및 계획 제출을 완료한 것으로 확인됐다.

경찰청 등은 인사 시스템 인사 정보와 개인정보처리시스템을 연계해 소속 부서 현행화 등 접근권한 관리를 강화했다. 국민연금공단 등은 개인정보취급자 접속기록 조회가 가능하도록 시스템을 개선했다. 한국장애인고용공단 등은 이상행위에 대한 실시간 소명 및 책임자 결재 절차를 마련했다.