[이데일리 김범준 기자] 국내 주요 여행사 모두투어(080160)가 이용자 306만명의 개인정보 유출 사고로 과징금 7억4700만원 처분을 받았다.
|
개인정보보호위원회는 지난 12일 전체회의를 열고 개인정보 보호 법규를 위반한 모두투어네트워크에 대해 총 7억 5720만원의 과징금 및 과태료를 부과했다고 13일 밝혔다. 동시에 공표 명령과 개선 권고를 하기로 의결했다. 모두투어네트워크는 온·오프라인 여행 중개 서비스 모두투어 운영 사업자다.
개인정보위에 따르면 신원 미상의 해커는 지난해 6월 모두투어네트워크가 운영 중인 웹페이지에 다수의 웹셸 파일을 업로드했다. 해당 파일에 존재하는 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원 및 비회원 306만여명의 한글 및 영문 이름, 생년월일, 성별, 휴대전화번호 등 개인정보를 탈취했다.
웹셸 공격은 특정 웹페이지의 파일 업로드 기능을 이용해 비정상적인 스크립트 파일 등을 실행하는 취약점을 통해, 시스템에서 실행 가능한 악성코드를 삽입 및 실행하고 관리자 권한 획득해 개인정보 탈취 등을 행하는 공격 기법을 말한다.
|
조사 결과 모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점을 점검 조치해야 했지만 이를 소홀히 했다. 아울러 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.
또한 모두투어네트워크는 2013년 3월부터 수집한 비회원 316만여건(중복 포함)의 개인정보를 보유 기간이 경과됐지만 파기하지 않아 대규모 유출에 영향을 끼친 것으로 나타났다. 지난해 7월 개인정보 유출 사실을 인지하고서도 정당한 사유 없이 2개월이 지난 9월에야 개인정보 유출 사실을 통지한 것도 개인정보 침해 우려를 키우게 된 원인 중 하나로 봤다.
이에 개인정보위는 모두투어네트워크에 과징금 7억4700만원과 과태료 1020만원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 이와 함께 향후 유출통지 지연 행위 등이 재발하지 않도록 내부 개인정보보호 관리체계 개선을 요구했다.
개인정보위는 “개인정보 탈취 위험에 대한 사전 탐지·차단 정책 강화 및 파일 업로드 취약점 점검·조치 등 각별한 주의와 예방이 필요하다”며 “대규모 개인정보 처리 사업자는 보유기간 경과, 처리목적 달성 등 수집한 개인정보가 불필요하게 됐을 때는 이를 지체 없이 파기해 혹시 모를 개인정보 유출 사고 발생 시 피해 규모를 최소화해야 한다”고 당부했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
