개인정보보호위원회는 제19회 전체 회의를 열어 개인정보 안전 조치를 소홀히 한 백패커에 2억2천789만원의 과징금과 360만원의 과태료를 부과하기로 의결했다고 23일 밝혔다.
수제 제품 판매를 중개하고 오프라인 클래스 예약 사이트를 운영하는 백패커는 'SQL인젝션 공격'을 예방하기 위한 조치를 소홀히 했다가 해킹으로 이용자 개인정보 3만2천여건이 유출된 것으로 조사됐다.
매장 입장을 위해 기다리고 있던 고객뿐만 아니라 동행인에게도 이름과 연락처 등을 요구한 샤넬코리아는 360만원의 과태료 처분을 받았다.
샤넬코리아는 지난 6월 서울의 한 백화점에 있는 샤넬 매장에서 입장을 대기하는 구매자와 동행자에게 이름과 연락처, 생년월일, 거주지역 등을 요구한 것이 알려져 과도하게 개인정보를 수집했다는 비판이 제기됐다.
당시 샤넬코리아는 1인당 구입 물량이 한정돼 있어 대리구매를 방지해야 한다는 목적이었다고 해명했지만 고객을 예비 범죄자로 취급하는 것이나 다름없는 조치라는 비난이 일었다.
개인정보위는 이러한 사실이 대기 고객 관리라는 본래 목적 범위를 벗어난 행위라고 판단해 '개인정보 보호법'을 위반했다고 판단했다.
개인정보위는 또 개인정보보호법을 위반한 엠비아이솔루션과 다배송에 시정조치 명령을 의결했다
조사 결과 2만여 고객사에 상담용 채팅 서비스 '해피톡'을 제공하는 엠비아이솔루션은 해킹으로 인해 이름, 이메일, 주문정보 등이 포함된 고객사 상담 내용 8만7천여건을 유출했다.
이 업체는 데이터베이스에 접속할 수 있는 관리자 계정의 비밀번호를 암호화하지 않는 등 개인정보 안전성 확보에 필요한 조치를 소홀히 한 사실이 확인됐다.
유럽 등 50여 고객사의 상품을 한국으로 배송하는 대행업체인 다배송은 배송정보 관리자 페이지에 로그인 검증 절차를 누락해 배송정보 700건을 유출한 사실이 확인됐다.
두 사업자 모두 이러한 사실을 이용자에게 알리지 않은 사실도 드러났다.
이에 개인정보위는 두 사업자에게 개인정보보호법에서 규정한 '안전조치 의무'와 '유출통지 의무'를 준수하고, 재발 방지대책을 수립해 이행하는 내용을 담은 시정조치 명령을 의결했다.
개인정보위 관계자는 "최근 개정된 개인정보보호법에 따라 수탁자도 과징금·과태료 등의 제재 대상이 되므로 더욱 각별한 주의가 요구된다"며 "개인정보 처리를 위탁받은 대형업체는 처리하는 개인정보의 규모가 크기 때문에 안전조치 의무를 다할 수 있도록 상시 점검해야 한다"고 강조했다.