[KJtimes=김은경 기자] 개인정보보호위원회가 고객 개인정보를 유출한 보람상조개발 등 보람상조 계열사들에 총 5억5000만원 규모 과징금·과태료 처분을 내렸다. 해킹 공격을 막기 위한 기본 보안 조치가 미흡했던 데다 계열사 간 개인정보 위탁 관리 체계도 부실했던 것으로 드러났다.

개인정보보호위원회는 13일 전체회의를 열고 개인정보 보호법을 위반한 보람상조개발과 계열사 6곳에 대해 과징금 총 5억4250만원과 과태료 1140만원을 부과했다고 밝혔다.

제재 대상에는 보람상조개발(주), 보람상조리더스(주), 보람상조라이프(주), 보람상조피플(주), 보람상조애니콜(주), 보람상조실로암(주), 보람상조플러스(주) 등이 포함됐다.

조사 결과 보람상조개발은 그룹 계열사들로부터 온라인 고객 상담과 고객관계관리(CRM) 업무를 위탁받아 개인정보 통합 데이터베이스(DB)를 운영해 왔다.

하지만 이 과정에서 접근제어와 보안 설정 등 핵심 안전조치를 제대로 이행하지 않은 것으로 파악됐다.

결국 해커는 웹사이트 취약점을 노린 'SQL 인젝션' 공격으로 데이터베이스에 침입했고, 고객 이름과 휴대전화번호, 이메일 등 개인정보를 탈취했다. 'SQL 인젝션'은 악성 명령어를 입력해 데이터베이스를 조작하거나 정보를 빼내는 대표적 해킹 기법이다. 보안업계에서는 기본적인 보안 점검만 이뤄졌더라도 상당 부분 예방 가능했던 사고로 보고 있다.

개인정보위는 특히 개인정보 처리 위탁 구조 전반에 문제가 있었다고 판단했다. 위탁사인 계열사들은 개인정보 처리 주체로서 수탁자인 보람상조개발의 보안 관리 수준을 점검·감독해야 했지만 관련 의무를 충분히 이행하지 않았다는 것.

여기에 보람상조개발은 개인정보 유출 사실을 인지한 이후에도 법정 기한 내 정보주체에게 통지하지 않았고, 보유 기간이 지난 개인정보를 파기하지 않은 사실도 적발됐다.

이에 따라 개인정보위는 보람상조개발에 과징금 5억3100만원과 과태료 1140만원을 부과했고, 계열사들에는 관리·감독 책임을 물어 총 1150만원 과징금을 부과했다. 또 각 사업자 홈페이지에 처분 내용을 공표하도록 명령했다.

◆"복잡한 위탁 구조가 보안 사각지대"…상조업계 전반 점검 확대

이번 처분은 다수 계열사와 협력업체가 얽힌 개인정보 처리 구조에서 발생할 수 있는 위험성을 보여준 사례라는 평가다. 상조업계는 계약 기간이 길고 가입자 개인정보를 장기간 보관하는 특성이 있어 개인정보 유출 시 피해 규모가 커질 가능성이 높다는 지적을 받아왔다.

특히 회원 모집과 상담, 고객 관리 업무를 외부 위탁 또는 계열사 통합 방식으로 운영하는 경우가 많아 관리 책임이 불명확해질 수 있다는 우려도 지속 제기돼 왔다.

개인정보위는 이번 사건을 계기로 상조업계 전반에 대한 실태 점검도 병행하고 있다. 현재 장기 개인정보 보관과 복잡한 위수탁 구조를 가진 상조업체들을 중심으로 사전 실태점검이 진행 중이다.

정보보호 업계 한 전문가는 "최근 개인정보 유출 사고 상당수가 복잡한 위탁 구조와 관리 책임 부재에서 발생한다"며 "위탁했다고 해서 책임까지 넘겨지는 것은 아니며 원청 사업자의 실질적 감독 체계가 핵심"이라고 말했다.

개인정보보호위원회는 "효율적인 개인정보 통합 처리도 중요하지만 처리 체계의 투명성과 관리 책임 확보가 더 중요하다"며 "대규모 개인정보를 처리하는 업종에 대한 감독을 지속 강화할 계획"이라고 밝혔다.