고객 306만여명의 개인정보 유출사고가 발생한 모두투어가 과징금 7억4000여만원을 물게 됐다.
13일 개인정보보호위원회는 여행 중개 서비스인 모두투어를 운영하는 모두투어네트워크에 개인정보보호법 위반을 이유로 과징금과 개인정보 보호 관리체계 개선 권고 처분 등을 지난 12일 전체회의에서 의결했다고 밝혔다.
개인정보위는 조사 결과 지난해 6월 신원 미상의 해커는 모두투어네트워크가 운영하는 웹페이지에 파일 업로드 취약점을 이용해 다수의 웹셸파일을 업로드했다. 이어 해당 파일에 심어둔 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여명의 개인정보를 탈취했다. 개인정보에는 이름과 생년월일, 성별, 휴대전화번호 등이 포함됐다.
개인정보위는 모두투어네트워크가 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점을 점검해야 했으나 이를 소홀히 했다고 봤다. 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.
또 2013년 3월부터 수집한 비회원 316만여건(중복 포함)의 개인정보를 보유기간이 지났음에도 파기하지 않아 대규모 정보 유출로 이어진 것으로 확인됐다.
작년 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 9월에서야 개인정보 유출 사실을 통지했다. 개인정보보호법에 따라 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 한다.
개인정보위는 모두투어네트워크에 과징금 7억4700만원과 과태료 1020만원을 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다. 이와 함께 내부 개인정보 보호 관리체계 개선을 요구했다.
신용현 한경닷컴 기자 yonghyun@hankyung.com
관련뉴스
