고객 개인정보 2만8000여 명분 유출 사고가 발생한 보람상조 계열사들이 과징금·과태료를 부과받았다.
개인정보보호위원회는 14일 보람상조개발과 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스 등 보람상조 계열 7곳에 과징금·과태료 약 5억5000만원을 부과했다.
개인정보위는 2024년 5월 28일 보람상조개발로부터 개인정보 유출 신고를 접수한 뒤 조사에 나섰다. 이후 보람상조개발이 그룹 내 계열사들로부터 온라인 고객상담 등 고객관계관리(CRM) 업무를 위탁받았고, 홈페이지로 수집한 개인정보를 통합 관리하는 데이터베이스(DB)를 운영하면서 안전 조치에 소홀했다는 사실을 확인했다.
해커는 웹사이트 보안 취약점을 노린 'SQL 인젝션(SQL Injection)' 방식으로 DB에 침투해 고객 정보를 빼낸 것으로 파악됐다. 유출된 정보는 이름, 휴대전화번호, 아이디(ID), 비밀번호, 이메일 주소 등 총 2만7882명분에 달한다. 개인정보보호위원회는 이 가운데 홈페이지 가입 회원과 온라인 상담 회원 정보가 함께 포함됐다고 봤다.
SQL 인젝션은 웹 애플리케이션의 취약한 입력값 처리 기능을 악용해 악성 SQL 구문을 삽입하고, 이를 통해 DB를 조작하거나 내부 정보를 탈취하는 방법이다.
개인정보위는 개인정보 처리 업무를 위탁한 6개 계열사가 수탁사인 보람상조개발이 개인정보를 안전하게 관리하도록 교육·감독해야 할 의무를 충분히 다하지 않았다고 판단했다.
보람상조개발은 개인정보 유출 사실을 인지한 이후에도 법정 통지 기한인 72시간을 넘겨 정보 주체에게 관련 사실을 알린 데다, 보관 기간이 지난 개인정보를 삭제하지 않은 것으로 조사됐다. 이에 따라 개인정보위는 보람상조개발에 과징금 5억3100만원과 과태료 1140만원을 부과했다.
계열사들 역시 수탁자 관리·감독 책임을 물어 총 1150만원의 과징금을 부과하고, 처분 내용을 홈페이지에 공개하도록 결정했다. 그룹 차원의 개인정보 처리 현황과 의사결정 체계를 점검·정비하고, 위·수탁 관계의 투명성을 강화하라는 내용의 시정명령도 내렸다.
현재 개인정보위는 상조업계 전반의 개인정보 관리 실태와 개선 여부를 확인하기 위해 지난 1월부터 사전 실태점검을 진행하고 있다.