보람상조, 개인정보 유출로 과징금·과태료 5.5억원 부과 작성일 05-14 34 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">안전조치의무 소홀 및 수탁자 관리감독 미흡에 대해 과징금·과태료 <br>개인정보위 "상조분야 전반에 대해 사전실태점검 병행"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="tJtjzDsAsl"> <p contents-hash="fc66c01c5c4c4a1c8da6d4de9d4511da39edc65454e0ba350df9177518e7b331" dmcf-pid="FL0kbmCEsh" dmcf-ptype="general"> [이데일리 안유리 기자] 보람상조가 2024년 5월 해킹으로 발생한 개인정보 유출 사고 및 개인정보보호법 위반으로 과징금과 과태료 총 5억 5390만원을 부과받았다. </p> <figure class="figure_frm origin_fig" contents-hash="b934ea4b2a75aad7bf8b74771b149345e4d2333757cfb2248707a34e4c225503" dmcf-pid="3opEKshDIC" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/14/Edaily/20260514110335939whqg.jpg" data-org-width="670" dmcf-mid="1UAqs28BrS" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/14/Edaily/20260514110335939whqg.jpg" width="658"></p> </figure> <div contents-hash="e0748b85588f941c24dc40e0d87424331c043c76c2583808793fac6810d45499" dmcf-pid="0gUD9OlwwI" dmcf-ptype="general"> 개인정보보호위원회는 13일 제9회 전체회의를 열고, 보람상조개발 등 7개 사업자(보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스)에 대해 과징금 총 5억 4250만 원 및 과태료 1140만 원을 부과하고, 시정 및 공표 명령을 의결했다. </div> <p contents-hash="de0047211a25cb230668ee71914af1ada14b7ab563683ffd2129c4c21095bbcb" dmcf-pid="pauw2ISrwO" dmcf-ptype="general">개인정보위는 2024년 5월 28일 보람상조개발로부터 개인정보 유출 신고가 접수됨에 따라 조사에 착수해 안전조치의무 위반 및 수탁자에 대한 관리감독 소홀 등의 법 위반 사실을 확인했다.</p> <p contents-hash="7cbecd423fb829d91f0f8ab1e3a3f5d6705e99938c723211e4239dd5929fe8f0" dmcf-pid="UN7rVCvmss" dmcf-ptype="general">개인정보위에 따르면 보람상조 홈페이지 통합 회원 및 온라인 상담 신청자 등의 이름, 휴대전화번호 등 개인정보 2만 7882건 유출이 유출됐다. 홈페이지 가입회원 976명의 생년월일과 성명, 구(재향) 홈페이지회원 1만2950명의 생년월일과 성별 등이 포함됐다.</p> <p contents-hash="7e52866429a958a04e5ddd63cb80d5aa6e3f0b258ee22529ab6a054c7861740e" dmcf-pid="ujzmfhTsIm" dmcf-ptype="general">조사 결과에 따르면, 보람상조개발은 보람상조리더 등 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해 왔으나, 해당 시스템과 관련하여 접근제어 등 안전성 확보 조치를 소홀히 하였던 것으로 드러났다.</p> <p contents-hash="4aea3819303d6b78eabd769bd562e2fa646bc31ec7bda5a047e9204f0e06f276" dmcf-pid="7Aqs4lyOrr" dmcf-ptype="general">더불어, 위탁사인 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있음에도, 이를 충분히 이행하지 않은 사실도 확인됐다. </p> <p contents-hash="d437debaa7c7574a4d64f7e3cbdc444caa0439cf9ba927f258884a47dd8ea4d7" dmcf-pid="zcBO8SWIIw" dmcf-ptype="general">이에, 해커가 홈페이지의 취약점을 이용한 ‘SQL 인젝션(Injection)’ 공격을 통해 해당 DB에 침입하여 이름, 휴대전화번호, 이메일 등 고객의 개인정보를 탈취한 것으로 확인됐다.</p> <p contents-hash="7f3088e4be0d684573fb35fc19fbf78db27a51e4c64c974544db32f4cf4dab98" dmcf-pid="qyd1NpztID" dmcf-ptype="general">SQL 인젝션이란 웹 애플리케이션의 보안 취약점을 이용해 악의적인 SQL 구문을 입력하여 데이터베이스를 조작하거나 정보를 탈취하는 해킹 기법이다. </p> <p contents-hash="3f0e6964dc0d96f9f3a090a2eee254d4008e1e0a9ab51ad769ff3f61b42ccb3b" dmcf-pid="BWJtjUqFIE" dmcf-ptype="general">추가로, 보람상조개발이 유출 사실을 인지한 후 정보주체에게 지체없이 통지해야 함에도 법정 기한을 넘겨 통지한 사실과, 보유 기간이 경과한 개인정보를 파기하지 않고 보관한 사실도 확인됐다. </p> <p contents-hash="4a400d9f6d30f7b120c93cc4c3f844b3fb3eb5a4bb9f9511f24ae620a4be885b" dmcf-pid="bYiFAuB3Dk" dmcf-ptype="general">개인정보위는 보람상조개발에 안전조치의무 위반 등으로 과징금 5억 3100만 원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1140만 원을, 계열사에는 수탁자에 대한 관리·감독 책임을 물어 총 1150만 원의 과징금을 부과하고, 처분 내용을 사업자의 홈페이지에 공표하도록 명령했다.</p> <p contents-hash="f79c423c7854ea26515c41aea09c3509a6e106363ac7df366ae38d060a04519d" dmcf-pid="KGn3c7b0wc" dmcf-ptype="general">아울러, 그룹 차원의 전반적 개인정보 처리 현황 점검·정비 및 의사결정체계 정비, 위수탁 관계 투명성 확보 등을 내용으로 하는 시정조치 명령을 통해 그룹 전체의 개인정보 보호 수준을 강화하도록 했다.</p> <p contents-hash="24c905895c1f09f681186afcdc3db64d7a549a2d58862cd3fe73763f08612246" dmcf-pid="9HL0kzKpEA" dmcf-ptype="general">개인정보위는 이번 처분이 계열회사 등 다수 기업이 관련되는 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 발생할 수 있는 보안 사각지대를 경고했다는 데 의의가 있다고 강조했다.</p> <p contents-hash="1609bbddb4fd838039043a34f25b30dced97853061182909385ee48e1b220a2f" dmcf-pid="2XopEq9UEj" dmcf-ptype="general">위수탁 등을 통해 개인정보를 통합 처리하는 경우, 처리 체계의 투명성 확보가 중요하며, 위탁자는 수탁자의 개인정보 처리 현황 및 보호 조치 등을 실질적으로 관리·감독할 책임이 있다.</p> <p contents-hash="0cbf552395910d6ea7862f833342ab2c5c3c0757a7fd4c93c97602fbc0928561" dmcf-pid="VZgUDB2umN" dmcf-ptype="general">개인정보위는 “실태점검 및 감독을 강화해 나갈 예정이며, 현재 상조 분야 전반에 대해 개인정보 처리실태 점검 및 관행 개선을 위한 사전 실태점검을 진행 중”이라고 밝혔다.</p> <p contents-hash="75ba4a90f2bc8c42a0b8838c526b1c834c543b5ce8f200534ec1259e402c41fb" dmcf-pid="f5auwbV7ma" dmcf-ptype="general">안유리 (inglass@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 KT 이사회, '거버넌스 논란' 정면돌파…강령 위반시 '퇴출' 05-14 다음 두나무 사내이사에 박현중…글로벌 사업 힘 싣나 05-14 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
