고객 306만여 명의 개인정보 유출사고가 발생한 모두투어 네트워크가 총 7억 5720만 원의 과징금과 과태료를 부과받았다.
개인정보보호위원회는 지난 12일 제6회 전체회의를 열고 개인정보보호법을 위반한 모두투어 네트워크에 대해 이 같은 과태료를 부과하고, 공표 명령 및 개선 권고를 의결했다고 13일 밝혔다.
개인정보위는 지난해 7월 모두투어네트워크의 개인정보 유출 신고를 접수한 후 조사를 진행했다.
조사 결과, 개인정보보호법에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 제대로 이행하지 않은 사실이 확인됐다.
앞서 신원 미상의 해커는 2024년 6월 모두투어네트워크가 운영하는 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸(Web Shell) 파일을 업로드했다.
이후 해당 파일의 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여 명의 개인정보를 탈취했다. 유출된 정보에는 이름, 생년월일, 성별, 휴대전화번호 등이 포함됐다.
개인정보위 조사 결과, 모두투어네트워크는 보안 취약점 점검·조치를 소홀히 해 해커의 웹셸 공격을 예방하지 못한 것으로 밝혀졌다.
파일 업로드 시 확장자 검증 및 실행 권한 제한 등의 보안 조치가 미비했고, 개인정보 유출 시도를 탐지·대응하기 위한 접근 통제도 충분하지 않았다.
또한, 모두투어네트워크는 2013년 3월부터 수집한 비회원 316만여 건(중복 포함)의 개인정보를 보유기간이 지났음에도 파기하지 않고 계속 보관했다.
이로 인해 대규모 정보 유출이 발생하는 원인이 됐다.
더불어 2024년 7월 개인정보 유출 사실을 인지하고도 정당한 사유 없이 2개월이 지난 9월에서야 개인정보 유출 사실을 통지한 점도 문제로 지적됐다.
이에 개인정보위는 모두투어네트워크에 과징금 7억 4700만 원과 과태료 1020만 원을 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다.
또한 내부 개인정보 보호 관리 체계를 개선하도록 요구했다.
배동현 ([email protected]) 기사제보
댓글을 남기려면 로그인 해주세요.