개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)가 9월 25일 제16회 전체회의를 통해 개인정보 보호법 위반 사례로 한국사회복지협의회와 ㈜테크랩스에 대해 각각 과징금을 부과하는 제재를 의결했다.

◆한국사회복지협의회, 비밀번호 취약점으로 135만 명 개인정보 유출 사고

한국사회복지협의회는 올해 1월, 자사에서 운영하는 사회복지 자원봉사 정보관리시스템(VMS) 홈페이지에서 발생한 해킹 공격으로 약 135만 명의 회원 개인정보가 유출되는 사고를 겪었다. 유출된 개인정보는 아이디, 이름, 이메일, 생년월일, 성별, 주소, 연락처, 직업, 학교정보, 학력, 자격면허보유 여부 등으로 총 1,300만 건에 달했다.

조사 결과, 한국사회복지협의회는 비밀번호 변경 요청자의 신원 확인 절차를 제대로 이행하지 않아 제3자가 비밀번호를 쉽게 변경할 수 있는 취약점을 노출시켰다. 이로 인해 해커는 약 24시간에 걸쳐 2천만 회 이상 시스템에 접속하며 개인정보를 열람하는 데 성공했다. 또한, 주민등록번호 대체 수단을 제공하지 않고 2001년 11월부터 회원가입 시 주민등록번호 입력을 의무화한 사실이 확인되었다.

개인정보위는 이러한 위반 사항에 대해 한국사회복지협의회에 4억 8,300만 원의 과징금을 부과하고, 홈페이지 전반에 대한 개인정보 보호 실태 점검과 개선, 개인정보취급자에 대한 정기적인 개인정보 보호 교육을 실시하도록 개선 권고했다. 더불어, 개인정보 유출에 대한 책임자 징계를 권고하고, 위반 사실을 최소 2일 이상 기관 홈페이지에 공표하도록 명령했다. 또한 주민등록번호 대체 수단 미제공에 대해 540만 원의 과태료를 부과했다.

◆테크랩스, 데이팅 앱에서 회원 프로필 사진 무단 이용 및 허위 계정 생성

테크랩스는 데이팅 앱 ‘아만다’와 ‘너랑나랑’ 등 국내 서비스와 대만의 ‘연권’ 서비스를 운영하면서 회원 프로필 사진을 무단으로 이용해 276개의 허위 계정을 생성한 것으로 밝혀졌다. 이 중 일부 계정은 2023년 11월 16일까지 활동을 유지하며 정상 회원과 자동 매칭되어 문제가 되었다.

개인정보위는 테크랩스의 행위가 정보주체의 권리·이익과 사생활에 미치는 영향이 상당한 중대한 위반이라고 판단하고, 2억 2,400만 원의 과징금을 부과했다. 또한 해당 기업을 경찰에 고발하고, 위반 사실을 2일 이상 홈페이지에 공표하도록 명령했다. 더불어 무단 이용된 회원들에게 목적 외 이용 사실을 통지하고 그 결과를 개인정보위에 알리도록 권고했다.

개인정보위는 이번 조치를 통해 공공기관과 기업의 개인정보 관리에 대한 경각심을 높이고, 개인정보 보호법 위반에 대해 엄정한 처분을 계속할 것이라고 밝혔다. 특히 정보주체로부터 수집한 개인정보를 동의받은 목적 외로 사용하는 행위에 대한 처벌을 강화해 나갈 계획이다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★