시스템 개발을 제대로 하지 못해 다른 고객의 예약정보 1800여건을 노출한 한화호텔앤드리조트가 거액의 과징금을 내게 됐다.
29일 개인정보보호위원회는 제14회 전체회의를 열어 한화호텔앤드리조트에 대해 과징금과 과태료로 총 1억8831만원을 부과하기로 의결했다고 밝혔다.
한화호텔앤드리조트는 온라인 회원도 쿠폰을 사용해 숙박 예약을 할 수 있는 이벤트를 위해 온라인 예약 절차를 변경하는 과정에서 시스템 개발과 사전 검증을 소홀히 했다. 그 결과 회원이 쿠폰을 사용해 예약한 경우 다른 사람의 예약정보 1818건이 조회되는 오류가 발생했다. 이에 개인정보위는 한화호텔앤드리조트가 개인정보보호법에 따른 안전조치 의무를 위반했다고 판단해 과징금 1억8531만원과 과태료 300만원을 부과하기로 했다.
이와 함께 개인정보위는 연인 대상 사회관계망서비스(SNS) ‘비트윈’을 운영하는 사업자인띵스플로우에 과징금 2732만원과 과태료 360만원을 부과하고, 시정명령과 함께 처분 결과를 개인정보위 홈페이지에 공표하기로 했다.
띵스플로우가 합병한 비트윈어스는 만 14세 미만 아동 3만8633명의 개인정보를 법정대리인의 동의 없이 수집했다. 또한 개인정보취급자가 개인정보 처리시스템에 접속한 기록을 보존·관리하지 않았고, 개인정보 열람 요구에 대해 기간(10일) 내에 답변하지 않았다.
개인정보위는 또 신차 시승 이벤트를 벌이면서 선택사항인 마케팅 활용 등 홍보 목적의 개인정보 수집에 동의하지 않은 고객에게 시승 서비스 제공을 거부한 현대자동차에 과징금 329만원과 과태료 900만원을 부과하고, 처분 결과를 부처 홈페이지에 공표하기로 했다.
현대자동차는 고객지원 애플리케이션인 ‘마이현대’ 운영에 사용되는 상용소프트웨어의 보안 패치를 즉시 적용하지 않아 타인의 개인정보가 이용자에게 노출되고 이 과정에서 신고와 통지를 지연한 사실도 함께 드러났다.
개인정보위는 “개인정보 처리시스템의 운영환경과 취약점을 주기적으로 점검하고, 만 14세 미만 아동의 개인정보를 수집할 때는 법정대리인의 동의를 받아야 한다”며 “마케팅 활용 등 홍보를 위한 개인정보 수집·이용에 동의하지 않았다는 이유로 서비스의 제공을 거부해서는 안 된다”고 강조했다.