컨슈머타임스=박준응 기자 | 삼성전자, LG헬로비전, 삼쩜삼, 타오월드 등 개인정보보호법을 위반한 기업 4곳이 개인정보보호위원회로부터 제재를 받았다.
개인정보보호위는 28일 제11회 전체회의를 열고, 개인정보보호 법규를 위반해 이용자 개인정보를 유출시킨 삼성전자에 과징금 8억7558만원과 과태료 1400만원을 부과하기로 의결했다. 이와 함께 전반적 보호체계 점검·개선 등 전사적 차원의 재발 방지대책 수립 등의 시정조치를 명하기로 했다.
개인정보보호위는 2020년 1월부터 2021년 5월까지 삼성전자에서 총 6건의 개인정보 유출이 있다는 신고에 따라 조사에 착수했고, 이 중 개인정보보호법 위반 소지가 있는 4건을 심의·의결했다.
개인정보보호위에 따르면 삼성전자는 삼성 계정 시스템의 데이터베이스 제품을 변경하며 제품별 데이터 처리 방식의 차이를 고려하지 않아 시스템 오류를 발생시켰고, 이로 인해 이용자 개인정보가 유출(오류 260명, 열람 26명)됐다.
삼성클라우드 서비스에 대해서는 2020년 2월부터 5월까지 벌어진 두 차례(1차 2.15~4.29/2차 4.29~5.11)의 사이버 공격 기간 총 76개 계정에서 이미지와 동영상 등이 유출됐다.
삼성닷컴 온라인 스토어 시스템에서는 개발 오류로 이용자가 타인의 배송정보를 조회하게 돼 개인정보가 유출(오류 62명, 열람 19명)됐다.
나머지 2건은 개인정보보호법 위반으로 보기 어려워 종결했다.
개인정보보호위는 같은 날 같은 회의에서 LG헬로비전에 대해서도 개인정보보호 법규 위반을 이유로 11억3179만원의 과징금과 1740만원의 과태료를 부과하기로 의결했다.
개인정보보호위가 개인정보 유출신고 접수에 따라 LG헬로비전에 대해 조사한 결과, 홈페이지를 운영하면서 안전조치의무를 소홀히 하는 등의 법 위반 사실을 확인했다.
LG헬로비전은 알뜰폰 제공과 관련된 홈페이지에서 1:1 상담문의 게시판을 운영하면서 개인정보처리시스템에 대한 침입차단·탐지시스템 운영을 소홀히 하고 웹 취약점에 대해 조치하지 않아 해커의 공격으로 4만6134명의 개인정보가 유출됐다.
또 초고속인터넷, 케이블TV 등 서비스 제공과 관련된 홈페이지를 운영하면서 소프트웨어 개발 회사가 공개한 세션 보안 취약점에 대한 최신화 조치(업데이트)를 하지 않아 세션 오류로 인해 이용자의 개인정보가 유출됐다. 개인정보 유출신고와 유출통지를 지연한 사실도 확인됐다.
이와 함께 이날 세무 서비스앱 삼쩜삼 운영사업자인 자비스앤빌런즈는 개인정보보호위로부터 '주민등록번호 단순 전달 후 파기 및 보유 금지' 등의 시정명령과 함께 과징금 8억5410만원, 과태료 1200만원을 부과받았다.
개인정보보호위에 따르면 그간 삼쩜삼이 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인, 소득 관련 정보 수집, 세무대리인 수임 동의, 환급신고 대행을 한 사실이 드러났다. 이처럼 법령에 근거 없이 주민등록번호를 수집·보관한 행위 등은 개인정보보호법 위반이다.
삼쩜삼은 조사과정 중에 절차를 개선해, 현재는 환급신고 대행시에만 주민등록번호를 수집·이용한 후 회원 탈퇴시까지 저장·보유하고 있다.
아울러 삼쩜삼이 △소득정보 등 개인정보를 수집하는 과정에서 처리방침을 통해 포괄 동의를 받으면서, 수집 항목을 누락하고 수집 목적·보유기간 등을 불명확하게 고지한 사실 △근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등에 대한 정보를 수집하면서 민감정보인 건강정보에 대한 별도 동의를 받지 않은 사실 △추가 검토가 필요한 경우 세무대리인이 대신 신고토록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않은 사실 등이 있음을 확인했다.
기공수련, 출판, 운동기구 판매 서비스를 제공하는 타오월드는 침입차단시스템의 도입·운영과 취약점 점검을 소홀히 해, 해커에게 1만3470명의 이용자 정보를 탈취당했다. 이와 함께 민감 정보에 해당하는 건강 관련 정보를 구체적 안내나 별도 동의 없이 수집·보관한 사실 등이 드러나 과징금 1054만원과 과태료 1140만원을 부과받았다.
