개인정보 유출 '여기어때'에 과징금 3억·대표 징계권고
방통위, 위드이노베이션 중징계 결정…"O2O 업체 사생활보호 더 주의해야"
(서울=연합뉴스) 임화섭 기자 = 방송통신위원회가 올해 3월 개인정보 유출 사고가 났던 숙박앱 '여기어때'를 운영하는 ㈜위드이노베이션에 과징금 3억1천만원, 과태료 2천500만원, 책임자 징계권고 등 중징계 조치를 내렸다.
방통위가 개인정보 유출사고에 대해 책임자 징계권고 조치를 내린 것은 이번이 처음이다.
방통위는 이날 전체회의를 열어 ㈜위드이노베이션에 이런 제재를 부과키로 의결했다. 아울러 위반행위의 중지·재발방지 대책 수립 시정명령, 시정명령 처분사실 공표 등도 결정했다.
이에 앞서 방통위는 사업자의 유출신고를 받고 3월 23일부터 과학기술정보통신부·경찰청·한국인터넷진흥원(KISA)등과 함께 현장조사를 실시했으며, 관련자료 분석과 재연을 통해 웹페이지 취약점을 악용한 'SQL인젝션 공격'으로 해커가 개인정보를 탈취한 사실을 확인해 4월 26일 발표했다.
유출된 개인정보는 여기어때 서비스 이용자의 숙박예약정보 3만23만9천210건과 회원정보 17만8만625건, 이용자 기준(중복제거) 97만1천877명이었다. 또 유출된 숙박이용내역을 악용해 협박·음란문자 4천817건이 발송됐다.
방통위는 ㈜위드이노베이션이 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반해 '매우 중대한 위반행위'에 해당한다고 보고 과징금을 부과했다.
또 작년 3월부터 시행된 개정 정보통신망법에 따른 '책임자 징계권고' 제재를 개인정보 유출사고 최초로 적용키로 했다.
이에 따라 ㈜위드이노베이션이 대표자와 책임 있는 임원을 징계토록 권고하고 그 결과를 방통위에 통보토록 했다.
이효성 방통위원장은 "온라인투오프라인(O2O) 서비스의 경우 사생활과 관련된 민감정보를 수집·이용하는 경우가 많으므로, 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안투자나 개인정보 보호를 위한 노력을 병행하길 바란다"며 "방통위도 취약분야에 대한 사전점검과 위반업체에 대한 보다 엄정한 제재를 통해 이용자 피해를 줄여나가도록 노력하겠다"고 밝혔다.
[표] ㈜위드이노베이션 유출 정보 현황
┌───────┬──────────────────┬────┬─────┐
│구 분 │유 출 항 목│ 건수 │ 중복제거 │
├───┬───┼──────────────────┼────┼─────┤
│이용자│ 숙박 │숙박수(구분), 제휴점명, 객실명, 예약│3,239,21│910,705명*│
│ 정보 │ 예약 │일시, 예약자, 회원번호, 휴대전화번호│ 0건 │ │
│ │ 정보 │, 결제방법, 결제금액, 원금액, 입금가││ │
│ │ │, 예약현황, 입·퇴실(가능)시간 등 ││ │
│ ├───┼──────────────────┼────┼─────┤
│ │ 회원 │회원번호, 회원ID(이메일주소), 이름( │178,625 │78,716명**│
│ │ 정보 │또는 닉네임), 가입일자, 가입수단, 회│ 건 │ │
│ │ │원등급, 가입환경(OS정보) 등 ││ │
├───┴───┼──────────────────┼────┼─────┤
│소 계 │ - │3,417,83│971,877명*│
│ ││ 5건 │**│
├───────┼──────────────────┼────┼─────┤
│사업자(제휴점)│업체번호, 업체명, 은행명, 계좌번호, │1,163건 │ 1,163명 │
│ │예금주, 연락처(휴대전화번호), 생년월││ │
│ 정보**** │일(사업자번호), 영업담당자, 회원등록││ │
│ │상태, 등록일││ │
├───────┼──────────────────┼────┼─────┤
│합 계 │ - │3,418,99│973,040명 │
│ ││ 8건 │ │
└───────┴──────────────────┴────┴─────┘
* 숙박예약정보 3,239,210건을 휴대전화번호 기준으로 중복 제거
** 회원정보 중 이메일주소가 저장되어 있어 특정 개인을 식별할 수 있는 회원 수
*** 숙박예약정보와 회원정보 중 회원번호 등을 기준으로 동일인으로 파악된 17,544명 제외
**** <개인정보 비식별 조치 가이드라인>에서 사업체(개인사업자 포함)의 운영과 관련된 정보는 원칙적으로 개인정보에 해당하지 않는다고 해석
solatido@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
방통위, 위드이노베이션 중징계 결정…"O2O 업체 사생활보호 더 주의해야"
(서울=연합뉴스) 임화섭 기자 = 방송통신위원회가 올해 3월 개인정보 유출 사고가 났던 숙박앱 '여기어때'를 운영하는 ㈜위드이노베이션에 과징금 3억1천만원, 과태료 2천500만원, 책임자 징계권고 등 중징계 조치를 내렸다.
방통위가 개인정보 유출사고에 대해 책임자 징계권고 조치를 내린 것은 이번이 처음이다.
방통위는 이날 전체회의를 열어 ㈜위드이노베이션에 이런 제재를 부과키로 의결했다. 아울러 위반행위의 중지·재발방지 대책 수립 시정명령, 시정명령 처분사실 공표 등도 결정했다.
이에 앞서 방통위는 사업자의 유출신고를 받고 3월 23일부터 과학기술정보통신부·경찰청·한국인터넷진흥원(KISA)등과 함께 현장조사를 실시했으며, 관련자료 분석과 재연을 통해 웹페이지 취약점을 악용한 'SQL인젝션 공격'으로 해커가 개인정보를 탈취한 사실을 확인해 4월 26일 발표했다.
유출된 개인정보는 여기어때 서비스 이용자의 숙박예약정보 3만23만9천210건과 회원정보 17만8만625건, 이용자 기준(중복제거) 97만1천877명이었다. 또 유출된 숙박이용내역을 악용해 협박·음란문자 4천817건이 발송됐다.
방통위는 ㈜위드이노베이션이 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반해 '매우 중대한 위반행위'에 해당한다고 보고 과징금을 부과했다.
또 작년 3월부터 시행된 개정 정보통신망법에 따른 '책임자 징계권고' 제재를 개인정보 유출사고 최초로 적용키로 했다.
이에 따라 ㈜위드이노베이션이 대표자와 책임 있는 임원을 징계토록 권고하고 그 결과를 방통위에 통보토록 했다.
이효성 방통위원장은 "온라인투오프라인(O2O) 서비스의 경우 사생활과 관련된 민감정보를 수집·이용하는 경우가 많으므로, 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안투자나 개인정보 보호를 위한 노력을 병행하길 바란다"며 "방통위도 취약분야에 대한 사전점검과 위반업체에 대한 보다 엄정한 제재를 통해 이용자 피해를 줄여나가도록 노력하겠다"고 밝혔다.
[표] ㈜위드이노베이션 유출 정보 현황
┌───────┬──────────────────┬────┬─────┐
│구 분 │유 출 항 목│ 건수 │ 중복제거 │
├───┬───┼──────────────────┼────┼─────┤
│이용자│ 숙박 │숙박수(구분), 제휴점명, 객실명, 예약│3,239,21│910,705명*│
│ 정보 │ 예약 │일시, 예약자, 회원번호, 휴대전화번호│ 0건 │ │
│ │ 정보 │, 결제방법, 결제금액, 원금액, 입금가││ │
│ │ │, 예약현황, 입·퇴실(가능)시간 등 ││ │
│ ├───┼──────────────────┼────┼─────┤
│ │ 회원 │회원번호, 회원ID(이메일주소), 이름( │178,625 │78,716명**│
│ │ 정보 │또는 닉네임), 가입일자, 가입수단, 회│ 건 │ │
│ │ │원등급, 가입환경(OS정보) 등 ││ │
├───┴───┼──────────────────┼────┼─────┤
│소 계 │ - │3,417,83│971,877명*│
│ ││ 5건 │**│
├───────┼──────────────────┼────┼─────┤
│사업자(제휴점)│업체번호, 업체명, 은행명, 계좌번호, │1,163건 │ 1,163명 │
│ │예금주, 연락처(휴대전화번호), 생년월││ │
│ 정보**** │일(사업자번호), 영업담당자, 회원등록││ │
│ │상태, 등록일││ │
├───────┼──────────────────┼────┼─────┤
│합 계 │ - │3,418,99│973,040명 │
│ ││ 8건 │ │
└───────┴──────────────────┴────┴─────┘
* 숙박예약정보 3,239,210건을 휴대전화번호 기준으로 중복 제거
** 회원정보 중 이메일주소가 저장되어 있어 특정 개인을 식별할 수 있는 회원 수
*** 숙박예약정보와 회원정보 중 회원번호 등을 기준으로 동일인으로 파악된 17,544명 제외
**** <개인정보 비식별 조치 가이드라인>에서 사업체(개인사업자 포함)의 운영과 관련된 정보는 원칙적으로 개인정보에 해당하지 않는다고 해석
solatido@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
