![보람상조 제공 [뉴스락]](https://images-cdn.newspic.kr/detail_image/562/2026/5/18/575cbadb-cd8d-45e0-a442-a34e54b16da1.jpg?area=BODY&requestKey=w3Hru72p)
[뉴스락] 개인정보 유출 사고가 발생한 보람상조 계열 7개사가 개인정보보호위원회로부터 5억 원대 제재를 받았다.
계열사 고객 정보를 한 곳에서 통합 관리하는 구조였지만, 접근제어 등 안전조치와 위·수탁 관리가 제대로 이뤄지지 않았다는 판단이다.
18일 업계에 따르면 개인정보보호위원회는 지난 13일 제9회 전체회의를 열고 개인정보보호법을 위반한 보람상조개발, 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스 등 7개 사업자에 대해 과징금 총 5억4250만 원과 과태료 1140만 원을 부과하기로 의결했다. 시정명령과 공표명령도 함께 내려졌다.
이번 조사는 지난 2024년 5월 28일 보람상조개발의 개인정보 유출 신고로 시작됐다.
조사 결과 보람상조개발은 그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리 업무를 위탁받아 수행하며 홈페이지를 통해 수집된 개인정보를 통합 DB로 관리해왔다.
그러나 해당 시스템의 접근제어 등 안전성 확보 조치는 미흡했던 것으로 확인됐다.
해커는 홈페이지 취약점을 악용한 SQL 인젝션 공격으로 DB에 침입해 온라인 상담 신청자와 홈페이지 회원의 이름·휴대전화번호·이메일·생년월일·아이디·비밀번호 등 개인정보 2만7882건을 탈취했다.
SQL 인젝션은 웹 애플리케이션 취약점을 이용해 악성 SQL 구문을 입력하고 데이터베이스를 조작하거나 정보를 빼내는 공격 방식이다.
개인정보위는 보람상조개발에 안전조치의무 위반 등을 이유로 과징금 5억3100만 원을 부과했다.
또한 유출 사실을 인지한 뒤 정보주체에게 법정 기한 내 통지하지 않은 점과 보유기간이 지난 개인정보를 파기하지 않은 점에 대해 과태료 1140만 원을 추가 부과했다.
계열 6개사에는 수탁자 관리·감독 의무 위반 책임을 물어 총 1150만 원의 과징금을 부과했다.
개인정보위는 이번 처분이 여러 계열사가 얽힌 개인정보 처리 구조에서 발생할 수 있는 보안 사각지대에 경고를 보낸 사례라고 설명했다.
특히 위·수탁 방식으로 개인정보를 통합 처리할 경우, 위탁자가 수탁자의 개인정보 처리 현황과 보호조치 이행 여부를 실질적으로 관리해야 한다고 강조했다.
보람상조 관계자는 <뉴스락>과의 통화에서 "이번 과징금 처분은 2024년 홈페이지 온라인 상담 및 가입자 DB 대상으로 발생한 사안으로 상조서비스 가입 계약자의 정보와는 무관하다"며 "당사는 사건 발생 직후 유관 기관 신고와 피해고객 개별 통지를 완료했고, 현재까지 2차 피해는 확인되지 않았다"고 말했다.
이어 "재발 방지를 위해 전담 정보보안 조직을 신설하고 외부 보안 전문가를 채용하는 한편 글로벌 보안 표준 정책을 전사에 적용하고 있으며 정부 공인 최고 등급 보안 인증인 ISMS-P 인증 취득을 추진 중"이라고 덧붙였다.
Copyright ⓒ 뉴스락 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
