"장기 미사용 계정 방치"… 개인정보위, 주요 상조업체 보안 취약점 시정권고

보람상조·교원라이프 유출 여파
선제적 침해 예방

개인정보보호위원회 로고. [사진=개인정보보호위원회] (포인트경제)

[포인트경제] 상조업계에서 개인정보 유출 사고가 잇따라 발생함에 따라 정부가 대형 상조업체들을 대상으로 선제적인 실태점검을 벌여 보안 취약점을 무더기로 적발했다.

개인정보보호위원회는 상조 서비스 주요 사업자를 대상으로 개인정보 처리 사전 실태점검을 실시한 결과, 보안 취약점 조치 미흡과 장기 미사용 계정 관리 소홀 등 다수의 미흡 사항을 확인하고 시정을 권고하기로 했다고 지난 25일 밝혔다. 개인정보위는 지난 24일 개최한 제12회 전체회의에서 이 같은 내용의 시정권고안을 심의·의결했다.

이번 점검은 지난 2024년 6월 보람상조그룹, 올해 1월 교원라이프 등 상조업계의 대형 유출 사고가 도화선이 됐다. 개인정보위는 가입자의 성명과 연락처는 물론 종교 등 민감한 정보가 포함되고 장기간 보관되는 상조 서비스의 특성을 고려해, 선수금 4000억원 이상으로 시장 점유율의 70%에 달하는 주요 사업자 3개사를 선정해 올해 1월부터 정밀 조사에 들어갔다.

퇴사자·휴직자 계정 방치하고 해지 회원 정보도 파기 안 해

점검 결과 일선 대형 상조업체들의 개인정보 관리 체계에 허점이 대거 노출됐다. 시스템 안전조치 부문에서는 보안 취약점을 인지하고도 적시에 보완하지 않거나, 장기간 쓰지 않는 휴면 계정의 접근 권한을 즉각 회수하지 않고 방치하는 등 권한 관리가 부실했다. 시스템 접속 기록을 보관할 때 반드시 포함해야 하는 정보주체(회원) 식별 정보를 누락한 사례도 함께 덜미를 잡혔다.

회원 정보의 보관과 파기 규정도 제대로 지켜지지 않았다. 상조 서비스를 정상적으로 해지해 보유 기간이 끝난 가입자의 개인정보를 파기하지 않고 그대로 쥐고 있거나, 일반 회원 데이터베이스와 분리하지 않은 채 운영 시스템에 혼재해 저장·관리해온 것으로 조사됐다. 여기에 개인정보 처리 업무를 위탁받은 수탁업체를 대상으로 정기 점검이나 보안 교육을 실시하지 않는 등 외주 관리·감독 부실도 확인됐다.

개인정보위는 이 같은 행위가 개인정보 보호법을 명백히 위반한 것으로 결론 내리고, 해당 사업자들에 공식적인 시정명령 성격의 시정권고를 내리기로 대수술을 예고했다.

점검 중 취약점 자율 개선 유도… 예방 중심 보호체계 확산

다만 조사 과정에서 추가로 드러난 내부 데이터베이스 서버 접근통제 미흡, 전송구간 암호화 미적용, 개인정보 보호책임자(CPO) 지정 요건 미준수 등의 결격 사유들은 실태점검 기간 중 상조업체들이 자체적으로 보완 조치를 완료했다.

개인정보위 관계자는 "이번 점검이 국민 생활과 밀접한 상조 분야의 침해 위험을 선제적으로 차단했다는 점에서 의의가 크다"고 평했다. 아울러 이번 시정권고 사항에 대해 철저한 이행점검을 벌여 최종 개선 여부를 재확인하는 한편, 향후 다양한 민생 분야로 사전 실태점검을 확대해 예방 중심의 개인정보 보호 환경을 정착시키겠다고 덧붙였다.