- .

(이미지 = (왼쪽)모두투어 제공 (오른쪽)개인정보위원회 제공)

(서울=NSP통신) 옥한빈 기자 = 개인정보위는 지난해 7월 모두투어네트워크(이하 모두투어)의 개인정보 유출 신고에 따라 조사한 결과 개인정보 보호법(이하 보호법)에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실을 확인돼 과징금 7억 4700만원과 과태료 1020만원을 부과했다.

이번 개인정보 유출 사고는 신원미상의 해커가 모두투어가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했다. 해당 파일에 존재하는 악성코드가 실행돼 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여 명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취했다.

개인정보위 조사 결과에 따르면 모두투어는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 했다. 그리고 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.

또한 2013년 3월부터 수집한 비회원 316만여 건(중복 포함)의 개인정보를 보유기간이 경과됐지만 파기하지 않고 보유하고 있어 대규모 유출에 영향을 끼쳤다. 2024년 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 2024년 9월에야 개인정보 유출사실을 통지한 것도 개인정보 침해 우려를 키우게 된 한 원인으로 보인다.

개인정보위는 모두투어에 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다.

NSP통신 옥한빈 기자(gksqls010@nspna.com)

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.