삼성전자가 개인정보 보호를 제대로 하지 않아 8억7500여만원의 과징금을 물게 됐다. 헬로모바일을 운영하는 LG헬로비전도 개인정보 보호 조치 소홀로 11억3000여만원의 과징금이 부과됐다. 삼성전자는 기존에 제재받은 기업들보다 개인정보 유출 규모는 수만분의 1로 작았으나 매출액 규모가 커서 과징금이 대폭 뛰었다.
개인정보보호위원회는 28일 제11회 전체회의를 열고 개인정보보호 법규를 위반한 삼성전자, 엘지헬로비전, 삼쩜삼 앱 운영사 자비스앤빌런즈에 과징금과 과태료 부과를 의결했다.
◆삼성전자, 정보 처리 소홀로 과징금
개인정보위는 정보 유출이 연속해서 일어난 삼성전자에 대해 개인정보 보호법상 안전조치의무 이행 미흡으로 과징금 8억7558만원과 과태료 1400만원을 부과했다. 또 개인정보 보호 관련 전사 차원의 재발 방지 대책 수립 등의 시정조치를 명하기로 했다.
개인정보위는 2020년 1월부터 2021년 5월까지 삼성전자와 관련해 총 6건의 유출신고가 들어와 조사에 착수했다. 이 중 개인정보 위반으로 보기 어려운 2건을 제외한 4건에 대해 심의·의결했다.
삼성전자는 삼성계정 시스템의 데이터베이스(DB) 제품을 바꾸면서 제품별 공백문자 처리 방식의 차이를 고려하지 않고 데이터를 통으로 옮겼다. 이 때문에 시스템 오류가 발생해 260명의 개인정보가 잘못 입력됐고, 26명이 잘못 입력된 개인정보를 열람하게 했다.
또 삼성클라우드 서비스를 노리고 2020년 2∼5월 두 차례 사이버 공격이 있었고, 76개 계정에서 이미지와 동영상 등이 유출됐다.
아울러 삼성닷컴 온라인스토어 시스템에서는 개발 오류로 이용자가 타인의 배송정보를 조회하게 돼 개인정보가 유출(오류 62명, 열람 19명)됐다.
이번 삼성전자의 과징금은 개인정보 유출 규모에 비해 높게 나왔다. 이는 개인정보보호법이 위반 행위와 관련 매출의 최대 3%를 과장금 상한선으로 두고 있기 때문이다. 앞서 한국맥도날드는 이용자 487만6106명의 개인정보가 해킹으로 유출되도록 해 과징금 6억9646만 원을 부과받았다. 인터파크에서는 개인정보 78만4920건이 유출돼 10억2645만원의 과징금, 팍스넷에서는 개인정보 28만4054건이 빼돌려져 3484만원의 과징금이 매겨졌다.
남석 개인정보보호위 조사조정국장은 “과징금을 부과할 때 관련 매출액이나 위반행위의 정도, 규모 등을 종합 고려하는데, 삼성전자는 매출액 기준을 적용하다 보니 그렇게 됐다”고 설명했다.
개인정보위는 2020년 ‘연예인 갤럭시폰 해킹·개인정보 유출’ 사건은 제재하지 않았다. 연예인 갤럭시폰 해킹 사건은 이번에 신고접수 된 6건 중 하나였다. 남 국장은 “이 건은 이용자의 ID나 패스워드를 탈취해서 접근했기에 사업자가 봤을 때는 정상적인 로그인 시도로 보여질 수 있다”며 “보호법상 처분 대상이 아니라고 판단했다”고 밝혔다.
◆LG헬로비전·삼쩜삼도 철퇴
LG헬로비전은 홈페이지를 운영하면서 개인정보 안전조치의무를 소홀히 해 과징금 11억3179만원과 과태료 1740만원을 물게 됐다.
LG헬로비전은 알뜰폰과 관련된 ‘헬로모바일’ ‘헬로다이렉트몰’ 사이트에서 일대일 상담문의 게시판을 운영하면서, 개인정보처리시스템에 대한 침입차단·탐지 시스템 운영을 소홀히 했고 웹 취약점에 대해 조치하지 않았다. 이로 인해 지난해 6월 해커의 공격으로 4만6134명의 개인정보를 유출시켰다. 당시 해커는 게시판 제목에 악성 스크립트를 삽입할 수 있는 취약점을 이용했고, 상담사가 제목을 클릭한 순간 로그인 정보가 유출됐다.
이 회사는 또 초고속인터넷, 케이블TV 등의 서비스 제공을 하는 LG헬로비전 사이트에서 소프트웨어 회사가 공개한 세션 보안 취약점 관련 업데이트를 하지 않았다. 이로 인해 세션 오류가 발생해 개인정보가 유출됐고, 회사 측은 개인정보 유출신고와 유출통지를 지연했다.
세무 서비스앱 삼쩜삼 운영사인 자비스앤빌런즈는 이용자 동의 없이 개인정보를 수집하고 민감정보를 처리해 과징금 8억5410만원과 과태료 1200만원을 부과받았다. 이 회사는 또 이용자에게서 수집한 주민등록번호로 홈택스 로그인을 하고 소득 정보 수집, 세무대리인 수임 동의, 환급신고 대행을 한 사실이 드러났다.
개인정보위 조사 시점에 자비스앤빌런즈는 1200만명 이상의 개인정보를 보유하고 있었던 것으로 확인됐다. 자비스앤빌런즈는 개인정보위 조사 과정 중 이런 절차를 개선해 현재는 환급 신고 대행 시에만 주민등록번호를 수집한 후 회원 탈퇴 시까지만 저장·보유하고 있다. 개인정보위는 이 회사에 주민등록번호를 단순 전달 후 파기하고, 파일 등으로 저장·보유하는 행위를 금지하도록 시정조치를 명령했다.
기공수련, 출판, 운동기구 판매 서비스를 제공하는 타오월드는 침입차단시스템의 도입·운영과 취약점 점검을 소홀히해, 해커에게 1만3470명의 이용자 정보를 탈취당했다. 아울러 민감 정보에 해당하는 건강 관련 정보를 구체적 안내나 별도 동의 없이 수집·보관한 사실 등이 드러나 과징금 1054만원과 과태료 1140만원을 부과받았다.