장기 미사용 계정 관리·개인정보 파기 소홀 등 발견…시정권고
(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회는 상조 서비스 주요 사업자를 대상으로 사전 실태점검을 실시한 결과 보안 취약점 조치 미흡, 장기 미사용 계정 관리 소홀 등을 확인하고 시정권고를 내렸다고 25일 밝혔다.
개인정보위는 전날 전체회의에서 이같은 내용을 심의·의결했다.
이번 점검은 최근 보람상조그룹(2024년 6월)과 교원라이프(올해 1월) 등 상조업계에서 개인정보 유출 사고가 잇따르자 실시됐다.
개인정보위는 최근 유출 사고가 발생한 두 업체를 제외하고, 선수금 4천억원 이상인 주요 상조업체 3곳(시장 점유율 약 70%)을 선정해 올해 1월부터 사전 실태점검을 벌였다.
상조 서비스는 회원 가입 후 일정 금액을 납입하면 장례 서비스를 제공하는 것으로, 최근에는 웨딩과 여행 등으로 서비스 범위가 확대되고 있다.
서비스 제공과정에서 성명, 전화번호, 종교 등 다양한 개인정보를 처리하고 장기간 회원 정보를 보유하는 특성상 체계적인 개인정보 보호가 요구된다.
개인정보위는 주요 상조업체 3곳을 대상으로 개인정보처리시스템 안전조치, 개인정보 보관·파기 실태, 수탁자 관리·감독, 개인정보 보호책임자(CPO) 지정 여부, 내부통제 체계 운영 등을 중점 점검했다.
점검 결과 일부 사업자는 보안 취약점 점검 후 발견된 문제에 대해 제때 조치하지 않았고, 장기간 사용하지 않은 계정의 접근 권한도 회수하지 않은 것으로 나타났다.
또 접속기록에 필수 항목인 정보주체 정보를 포함하지 않는 등 접근기록 관리도 미흡했다.
상조 서비스 해지 후 보유 기간이 지난 개인정보를 파기하지 않거나, 분리보관 대상 정보를 운영 데이터베이스에 그대로 저장·관리한 사례도 확인됐다.
이 밖에 개인정보 처리업무를 위탁받은 일부 수탁자에 대해 점검이나 교육을 실시하지 않는 등 관리·감독이 소홀한 사례도 적발됐다.
개인정보위는 이 같은 사항이 개인정보 보호법 위반에 해당한다고 판단해 해당 사업자들에 시정 권고를 하기로 했다.
점검 과정에서 확인된 내부 데이터베이스 서버 접근통제 미흡, 개인정보 전송구간 암호화 미적용, 개인정보 보호책임자(CPO) 지정 요건 미준수 등은 사업자들이 점검 기간 중 모두 개선했다고 개인정보위는 설명했다.
개인정보위는 이번 점검이 상조 서비스 분야의 개인정보 보호 취약 요인을 사전에 발굴·개선했다는 데 의미가 있다고 밝혔다.
개인정보위는 국민 생활과 밀접한 분야를 중심으로 사전 실태점검을 확대하고 시정 권고 사항에 대한 이행 여부도 점검할 계획이다.
chacha@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
