개인정보위, 미스터피자 등 6개 사업자에 과태료·과징금 처분

미스터피자와 야놀자에프앤비솔루션 등 6개 사업자가 개인정보보호 법규 위반으로 총 1억 9699만 원의 과징금과 4710만 원의 과태료 처분을 받았다.

개인정보보호위원회는 24일 제7회 전체회의를 열고 이같은 내용의 과태료·과징금 처분을 의결했다고 25일 밝혔다.

과태료·과징금 처분 대상은 디에스이엔, 미스터피자, 펀잇, 야놀자에프앤비솔루션, 에스티지24, 하이플레이다.

개인정보위는 사업자들이 온라인으로 서비스를 제공하면서 개인정보 보호법에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반했다고 판단했다.



온라인 피자주문 서비스를 운영하는 업체인 디에스이엔은 시스템 개발 과실로 관리자 페이지 주소를 입력하면 누구나 접속해 주문 정보를 볼 수 있으며, 검색엔진에도 해당 관리자 페이지가 노출돼 주문 정보 등 개인정보를 타인이 확인할 수 있었던 것으로 개인정보위 조사 결과 파악됐다. 개인정보 수집 당시 주문정보를 1년만 보관한다는 방침과 달리 기간이 경과한 이용자의 주문정보를 파기하지 않았다. 미스터피자는 디에스이엔으로부터 분할 설립되면서 개인정보를 이전받았는데 보유기간이 경과한 주문정보를 파기하지 않고 보관한 것으로 조사됐다.

야놀자에프엔비솔루션은 운영 중인 ‘도도포인트’ 서비스와 관련해 클라우드 데이터 저장소를 이용하던 중 데이터 저장소의 기본 설정값을 ‘공개’로 설정해 해당 주소로 접속하면 누구나 최소 794건의 고객 개인정보를 확인할 수 있었다고 개인정보위는 설명했다.

LED 마스크 등을 판매하는 온라인 쇼핑몰인 에스티지24는 이벤트 진행 과정에서 홈페이지 접속자 정보가 중복되도록 잘못 관리한 사실이 파악됐다. 펀잇과 하이플레이는 해커가 관리자 계정으로 접속해 개인정보를 유출한 것으로 조사됐다.

개인정보위는 “개인정보를 수집·처리하는 사업자는 개인정보처리시스템에 접속 가능한 IP주소 제한 등 보안장비를 설치하는 것 외에도 운영 환경과 시스템 설정의 취약점은 없는지 주기적으로 점검해야 한다”면서 “관리자 계정으로 외부망에서 접속하는 경우 2차 인증을 적용하고, 불필요한 개인정보나 보유기간이 지난 개인정보는 파기하는 등 개인정보 보호법을 준수해야 한다"고 말했다.