개인정보위, 보람상조 계열 7개사에 유출사고 과징금 5.5억원

안전조치의무 위반 및 수탁자 감독 소홀 보유기간 경과 미파기…유출통지도 안해 개인정보보호위원회는 지난 13일 전체회의에서 개인정보보호법을 위반한 보람상조개발 등 보람상조 7개 사업자에 대해 과징금 총 5억4250만원과 과태료 1140만원을 부과하고 시정 및 공표 명령을 의결했다고 밝혔다. 이번 제재 대상은 보람상조개발과 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스다. 개인정보위는 지난 2024년 5월 28일 보람상조개발로부터 개인정보 유출 신고를 접수받은 뒤 조사를 진행한 결과 안전조치의무 위반과 수탁자에 대한 관리감독 소홀 등 법 위반 사실을 확인했다. 보람상조개발은 6개 보람상조 계열사로부터 온라인 고객 상담 등의 업무를 위탁받아 수행하면서 수집된 개인정보를 통합 관리하는 데이터베이스를 운영해 왔지만, 접근제어 등 안전성 확보 조치를 소홀히 했던 것으로 드러났다. 이에 해커가 홈페이지의 취약점을 이용한 ‘에스큐엘 인젝션’ 공격으로 해당 데이터베이스에 침입, 이름과 휴대전화번호, 이메일 등 개인정보를 탈취했다. 유출된 정보는 총 2만7882건이다. 위탁사인 6개 계열사는 수탁자를 교육하고 감독해야 할 의무가 있지만, 이를 충분히 이행하지 않은 것으로 개인정보위는 판단했다. 또 유출 사실을 인지한 뒤 정보주체에게 지체없이 통지해야 하지만, 이들은 법정 기한을 넘긴 뒤에야 이를 통지했고, 보유 기간이 경과한 개인정보를 파기하지 않고 보관한 사실도 확인됐다. 개인정보위는 보람상조개발에 과징금 5억3100만원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1140만원을 부과했고, 계열사에는 총 1150만원의 과징금을 부과하고 처분 내용을 홈페이지에 공표하도록 명령했다. 아울러 그룹 차원의 전반적 개인정보 처리 현황 점검과 위탁 관계 투명성 확보 등의 시정명령을 내려 그룹 전체의 개인정보 보호 수준을 강화하도록 했다. 개인정보위 관계자는 “대규모 개인정보를 처리하거나 복잡한 위수탁 구조를 가진 사업자들이 보다 투명하고 안전하게 개인정보를 처리할 수 있도록 실태점검 및 감독을 강화해 나가겠다”고 말했다. 한편 개인정보위는 현재 상조 전반에 대한 개인정보 처리실태 점검 및 관행 개선을 위한 사전 실태점검을 진행하고 있다.