청삼 개인정보보호위원회 조사조정국장이 11일 오후 정부서울청사 브리핑룸에서 LG유플러스 개인정보 유출 사고 조사 진행 상황에 대해 발표하고 있다.[사진=개인정보보호위원회]
스타벅스를 운영하는 에스씨케이컴퍼니가 개인정보 보호조치를 소홀히 하고, 유출 사실을 신고하지 않아 과태료 1000만원을 부과받았다.
개인정보보호위원회는 11일, 올해 첫 번째 전체회의를 열고, 에스씨케이컴퍼니와 다노 등 2개 사업자에 총 과태료 1300만원을 부과하기로 결정했다.
개인정보위에 따르면 에스씨케이컴퍼니는 홈페이지 시스템 고도화 과정에서 휴면 계정 해제 시 아이디와 비밀번호를 확인하는 검증 값을 누락해, 4명의 개인정보가 유출됐다. 또한 이러한 사실을 신고기관인 한국인터넷진흥원에 신고하지 않았다.
검증 값 누락 관련 오류는 지난 2017년 11월과 12월 고객센터 문의를 통해 인지됐으며, 에스씨케이컴퍼니 측은 이를 이듬해인 2018년 1월 조치 완료했다. 이에 개인정보 보호법이 아닌 구 정보통신망법이 적용됐다.
다만, 개인정보위는 위 사항 외에 지난해 일부 언론에서 보도된 △클라우드 서비스 운영 보안 취약점 존재 △개인정보 보호책임자에 대한 인사 불이익 등에 대해서는 개인정보 보호법 위반 관련 사실을 확인하지 못했다고 덧붙였다.
맞춤형 운동 지도 서비스를 제공하는 다노는 개인정보가 담긴 파일을 이메일에 잘못 첨부해 발송하면서 이용자 51명의 개인정보를 타인에게 노출해 과태료 300만원을 부과받았다.
다노는 자사 시스템을 통해 내려받은 '고객센터 문의·답변 파일'과 '이용자 1:1 운동상담 내역 파일'을 별도로 분리해 관리하지 않고, 같은 폴더에 저장해왔다. 고객센터 상담직원은 1:1 운동상담 내역을 요청한 이용자에게 문의·답변 파일을 잘못 첨부해 이메일로 발송했으며, 이 과정에서 개인정보가 타인에게 노출됐다.
진성철 개인정보위 조사2과장은 "개인정보를 처리하는 사업자는 운영상의 과실 등으로도 개인정보 유출 사고가 일어날 수 있는 점을 유의해 안전조치와 관련된 의무사항을 상시 점검하고, 유출 사고가 일어나면 신고 등을 적법하게 이행해야 한다"고 강조했다.
한편, 이날 개인정보위는 LG유플러스 개인정보 유출 사고에 대한 조사 진행 상황을 공유했다. 앞서 LG유플러스는 지난 10일 홈페이지 공지를 통해 개인정보 약 18만건이 유출된 사실을 확인했으며, 개별 정보주체에게 이메일과 문자 메시지로 알렸다고 밝혔다.
개인정보위는 해당 사건을 파악한 9일 사실조사에 착수했으며, 이날 LG유플러스의 IT 시스템이 모여있는 상암사옥에서 현장조사를 실시했다.
개인정보 보호법에 따르면 정보통신사업자 등은 개인정보 유출 사실을 인지하면 규모와 관계없이 24시간 이내에 한국인터넷진흥원 등에 신고해야 한다. 또한 정보주체에게도 24시간 이내에 개별 통지해야 하는 의무가 있다.
개인정보위는 이번 조사를 통해 개인정보 유출 인지 시점, 경위, 규모, 안전조치 의무 등 개인정보 보호법과 관련한 사항을 조사하고, 위반사항이 확인될 경우 행정처분을 내릴 계획이다.
개인정보보호위원회는 11일, 올해 첫 번째 전체회의를 열고, 에스씨케이컴퍼니와 다노 등 2개 사업자에 총 과태료 1300만원을 부과하기로 결정했다.
개인정보위에 따르면 에스씨케이컴퍼니는 홈페이지 시스템 고도화 과정에서 휴면 계정 해제 시 아이디와 비밀번호를 확인하는 검증 값을 누락해, 4명의 개인정보가 유출됐다. 또한 이러한 사실을 신고기관인 한국인터넷진흥원에 신고하지 않았다.
검증 값 누락 관련 오류는 지난 2017년 11월과 12월 고객센터 문의를 통해 인지됐으며, 에스씨케이컴퍼니 측은 이를 이듬해인 2018년 1월 조치 완료했다. 이에 개인정보 보호법이 아닌 구 정보통신망법이 적용됐다.
다만, 개인정보위는 위 사항 외에 지난해 일부 언론에서 보도된 △클라우드 서비스 운영 보안 취약점 존재 △개인정보 보호책임자에 대한 인사 불이익 등에 대해서는 개인정보 보호법 위반 관련 사실을 확인하지 못했다고 덧붙였다.
맞춤형 운동 지도 서비스를 제공하는 다노는 개인정보가 담긴 파일을 이메일에 잘못 첨부해 발송하면서 이용자 51명의 개인정보를 타인에게 노출해 과태료 300만원을 부과받았다.
다노는 자사 시스템을 통해 내려받은 '고객센터 문의·답변 파일'과 '이용자 1:1 운동상담 내역 파일'을 별도로 분리해 관리하지 않고, 같은 폴더에 저장해왔다. 고객센터 상담직원은 1:1 운동상담 내역을 요청한 이용자에게 문의·답변 파일을 잘못 첨부해 이메일로 발송했으며, 이 과정에서 개인정보가 타인에게 노출됐다.
진성철 개인정보위 조사2과장은 "개인정보를 처리하는 사업자는 운영상의 과실 등으로도 개인정보 유출 사고가 일어날 수 있는 점을 유의해 안전조치와 관련된 의무사항을 상시 점검하고, 유출 사고가 일어나면 신고 등을 적법하게 이행해야 한다"고 강조했다.
한편, 이날 개인정보위는 LG유플러스 개인정보 유출 사고에 대한 조사 진행 상황을 공유했다. 앞서 LG유플러스는 지난 10일 홈페이지 공지를 통해 개인정보 약 18만건이 유출된 사실을 확인했으며, 개별 정보주체에게 이메일과 문자 메시지로 알렸다고 밝혔다.
개인정보위는 해당 사건을 파악한 9일 사실조사에 착수했으며, 이날 LG유플러스의 IT 시스템이 모여있는 상암사옥에서 현장조사를 실시했다.
개인정보 보호법에 따르면 정보통신사업자 등은 개인정보 유출 사실을 인지하면 규모와 관계없이 24시간 이내에 한국인터넷진흥원 등에 신고해야 한다. 또한 정보주체에게도 24시간 이내에 개별 통지해야 하는 의무가 있다.
개인정보위는 이번 조사를 통해 개인정보 유출 인지 시점, 경위, 규모, 안전조치 의무 등 개인정보 보호법과 관련한 사항을 조사하고, 위반사항이 확인될 경우 행정처분을 내릴 계획이다.
