모두투어네트워크(이하 모두투어)가 회원‧비회원 306만여명의 개인정보를 유출하고도 2개월이 지난 후에야 사실을 통지해 총 7억5720만원의 과징금 및 과태료를 부과 받았다.
개인정보위는 12일 서울 종로구 정부서울청사에서 제6회 전체회의를 열고 모두투어에 대해 과징금 7억4700만원과 과태료 1020만원을 부과하고 사업자 홈페이지에 처분 받은 사실을 공표하도록 명령했다고 13일 밝혔다. 이어 향후 유출통지 지연 행위 등이 재발하지 않도록 내부 개인정보 보호 관리체계 개선을 요구했다.
개인정보위는 지난해 7월 모두투어의 개인정보 유출 신고에 따라 조사한 결과 ‘개인정보 보호법’에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실을 확인했다.
신원미상의 해커는 지난해 6월 모두투어가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했다. 해당 파일에 존재하는 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원‧비회원 306만 여명이 개인정보를 탈취했다. 유출된 개인정보는 △한글이름 △영문이름 △생년월일 △성별 △휴대전화번호 등이다.
웹셸 공격은 특정 웹페이지의 파일 업로드 취약점을 통해 시스템에서 악성코드를 삽입 및 실행해 관리자 권한을 획득, 개인정보 탈취 등에 이용하는 기법이다.
개인정보위 조사에 따르며 모두투어는 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검‧조치를 소홀히 했다. 개인정보 유출 시도를 탐지하고 대응하기 위한 접근통제 조치도 미흡했다. 또 2013년 3월부터 수집한 비회원 316만여건(중복 포함)의 개인정보를 보유기간이 경과했음에도 파기하지 않고 보유해 대규모 유출에 영향을 끼쳤다.
게다가 2024년 7월 개인정보 유출 사실을 인지했지만 정당한 사유 없이 2개월이 지난 9월에야 개인정보 유출 사실을 통지해 개인정보 침해 우려를 키웠다. 관련 법상 개인정보 유출사실 인지 후 72시간 내에 개인정보위 등에 알려야한다.
개인정보위 관계자는 “대규모 개인정보 처리 사업자는 보유기간 경과, 처리목적 달성 등 수집한 개인정보가 불필요하게 됐을 때 지체없이 파기해야 할 것”이라며 “정보주체의 2차 피해 예방 등을 위해 개인정보 유출 사실 인지 즉시 통지가 이뤄질 수 있도록 내부 개인정보 보호 체계를 정비해야 한다”라고 당부했다.
당시 모두투어는 홈페이지에 사과문을 개제하며 “다시 한 번 사과의 말씀을 드리며, 당사는 앞으로 이와 같은 사고가 발생하지 않도록 보안조치를 더욱 강화할 것”이라며 “고객님들의 개인정보 보호를 위해 최선의 노력을 다할 것”이라고 밝혔다.
