삼성 계정·삼성클라우드·삼성닷컴 온라인스토어서
연달아 개인정보 유출…과징금 8억7558만원 부과
'안전조치 소홀' LG헬로비전도 11억3179만원 부과
[데일리임팩트 변윤재 기자] 삼성전자가 개인정보 유출로 약 9억원에 달하는 과징금을 물게 됐다.
28일 개인정보보호위원회(개인정보위)는 전체회의를 열고 개인정보보호 법규를 위반한 삼성전자에 과징금 8억7558만원과 과태료 1400만원을 부과하기로 결정했다고 밝혔다. 개인정보 유출이 연달아 발생한 만큼, 전사 차원의 재발 방지 대책 수립 등의 시정조치를 명했다.
개인정보위는 2020년 1월부터 2021년 5월까지 삼성전자와 관련, 총 6건의 개인정보 유출 신고를 받고 조사에 착수했다. 이 가운데 개인정보보호법 위반으로 보기 어려운 2건을 제외한 4건에 대해 심의·의결했다.
삼성전자는 삼성 계정 시스템의 데이터베이스(DB) 제품을 바꾸는 과정에서 제품별 데이터 처리 방식의 차이를 고려하지 않아 시스템 오류가 발생했다. 그 결과 260명의 개인정보가 잘못 입력됐고, 26명이 타인의 개인정보를 열람했다.
또 2020년 2∼5월 삼성클라우드 서비스에 대한 사이버 공격이 발생, 76개의 계정에서 이미지와 동영상이 유출됐다. 삼성닷컴 온라인스토어 시스템에서도 개발 오류로 이용자 개인정보가 노출됐다. 62명의 오류를 겪고 19명은 타인의 정보를 열람했다.
다만, 유출 규모에 비해 삼성전자의 과징금은 다소 높게 책정됐다. 수십만명 이상의 개인정보가 유출된 기업과 비슷한 수준이다. 인터파크는 이용자 개인정보 78만4920건이 유출돼 과징금 10억2645만원, 과태료 360만원을 부과받았다. 이에 앞서 한국맥도날드도 487만6106명의 개인정보가 해킹 등을 통해 유출된 사실이 드러나 과징금 6억9646만원, 과태료 1020만원의 처분을 받았다.
개인정보 보호 위반에 따른 과징금은 매출의 최대 3%까지 매길 수 있다. 신고 당시 삼성전자의 연간 매출은 200조원대였다. 다른 기업보다 과징금 규모가 커질 수밖에 없었다는 게 개인정보위의 설명이다.
개인정보위는 이날 LG헬로비전과 자비스앤빌런즈, 타오월드에 대해서도 제재 처부을 내렸다.
LG헬로비전은 홈페이지를 운영하면서 개인정보 안전조치의무를 소홀히 해 과징금 11억3179만원과 과태료 1740만원이 부과됐다.
알뜰폰 관련된 사이트에서 일대일 상담 문의 게시판을 운영했는데 개인정보 관리에 대한 침입차단·탐지 시스템 운영을 소홀히 했다. 결국 지난해 6월 해커의 공격을 받아 4만6134명의 개인정보가 유출됐다.
초고속인터넷, 케이블TV 등 서비스 제공을 하는 LG헬로비전 사이트에서는 소프트웨어 회사가 공개한 세션 보안 취약점 관련 업데이트를 하지 않았다. 이후 세션 오류가 발생해 개인정보가 유출됐지만, 개인정보 유출신고와 유출통지를 지연했다.
세무 서비스앱 삼쩜삼 운영사인 자비스앤빌런즈는 이용자 동의 없이 개인정보를 수집하고 민감정보를 처리해 과징금 8억5410만원과 과태료 1200만원을 물게 됐다.
이 회사는 또 이용자에게서 수집한 주민등록번호로 홈택스 로그인을 하고 소득 정보 수집, 세무대리인 수임 동의, 환급신고 대행을 한 것으로 드러났다. 개인정보위 조사 당시자비스앤빌런즈는 1200만명 이상의 개인정보를 보유하고 있었던 것으로 확인됐다.
자비스앤빌런즈는 개인정보위 조사 과정 중 이런 절차를 개선해 현재는 환급 신고 대행 시에만 주민등록번호를 수집한 후 회원 탈퇴 시까지만 저장·보유하고 있다. 개인정보위는 이 회사에 주민등록번호를 단순 전달 후 파기하고, 파일 등으로 저장·보유하는 행위를 금지하도록 시정조치를 명령했다.
기공수련, 출판, 운동기구 판매 서비스를 제공하는 타오월드는 침입차단시스템의 도입·운영과 취약점 점검을 소홀히 해, 해커에게 1만3470명의 이용자 정보를 탈취당했다. 특히 민감 정보에 해당하는 건강 관련 정보를 구체적 안내나 별도 동의 없이 수집·보관한 사실 등이 드러나 과징금 1054만원과 과태료 1140만원을 부과받았다.
남석 개인정보위 조사조정국장은 "대규모 개인정보를 보유하거나 민감한 개인정보를 처리하는 사업자는 책임감을 갖고 개인정보가 안전하게 보관되도록 기술적, 관리적 보호조치 등 법적 의무사항을 충실히 준수해야 한다"며 "해킹 같은 외부 공격과 내부 원인에 의한 개인정보 유출 등은 주기적인 보안 최신화, 취약점 점검, 상시 교육 등의 노력을 통해 상당 부분 예방이 가능하다"고 강조했다.