개인정보위, 개인정보 유출 보람상조 제재…과징금 5억4000만원 부과

SQL 인젝션 공격으로 고객 개인정보 유출…안전조치 미흡 지적

계열사 관리·감독 책임도 인정…홈페이지 공표·시정명령 조치

개인정보위 로고 [사진=연합뉴스]

개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관인 개인정보보호위원회가 개인정보 보호법을 위반한 보람상조개발 등 보람그룹 계열사 7곳에 총 5억4250만원의 과징금과 1140만원의 과태료를 부과했다.

개인정보위는 전날 열린 제9회 전체회의에서 보람상조개발과 계열사 6곳에 대해 과징금·과태료 부과와 함께 시정명령 및 처분 결과 공표를 의결했다고 14일 밝혔다.

제재 대상은 보람상조개발㈜, 보람상조리더스㈜, 보람상조라이프㈜, 보람상조피플㈜, 보람상조애니콜㈜, 보람상조실로암㈜, 보람상조플러스㈜ 등이다.

앞서 개인정보위는 2024년 5월 보람상조개발로부터 개인정보 유출 신고를 접수한 뒤 조사에 착수했다.

조사 결과 보람상조개발은 그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하며 고객 개인정보를 통합 관리해온 것으로 나타났다. 그러나 해당 시스템 운영 과정에서 접근권한 관리와 보안 취약점 점검 등 안전성 확보 조치를 충분히 이행하지 않은 것으로 확인됐다.

개인정보위는 해커가 홈페이지 취약점을 이용한 SQL 인젝션 공격을 통해 데이터베이스(DB)에 침입했으며, 이 과정에서 이름·휴대전화번호·이메일 등 고객 개인정보가 유출된 것으로 판단했다.

이에 따라 개인정보위는 보람상조개발에 대해 안전조치 의무 위반 등을 이유로 과징금 5억3100만원을 부과했다. 또 개인정보 유출 통지 지연과 보유 기간이 지난 개인정보 미파기 등을 이유로 과태료 1140만원도 함께 부과했다.

아울러 계열사 6곳에는 개인정보 처리 업무를 위탁하면서 수탁자 관리·감독 의무를 소홀히 한 책임을 물어 총 1150만원의 과징금을 부과했다. 개인정보위는 이들 사업자에 처분 내용을 홈페이지에 공표하도록 명령했다.

개인정보위는 이와 함께 그룹 차원의 개인정보 처리 현황 점검 및 관리 체계 정비, 위·수탁 관계 투명성 강화 등을 포함한 시정조치 명령도 내렸다. 이를 통해 보람그룹 전반의 개인정보 보호 수준을 강화하도록 했다는 설명이다.