개인정보위, 발란에 5.1억원 과징금 철퇴
3~4월 162만 건 고객 개인정보 유출
2023-08-11 이서연 기자
개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 지난 10일 개인정보 보호법을 위반한 발란에 총 5억 1259만원 과징금과 1440만원 과태료를 부과하기로 결정했다.
온라인 명품 쇼핑몰을 운영하는 발란은 신원미상의 자(이하 ‘해커’)의 공격으로 지난 3월과 4월 두 차례에 걸쳐 약 162만 건의 고객 이름, 주소, 휴대전화번호 등 개인정보가 유출됐다.
또, 소셜로그인 기능 오류로 이용자 식별정보가 중복됨에 따라 다른 이용자에게 개인정보가 노출되는 사고가 발생했다.
조사 결과, 발란은 사용하지 않는 관리자 계정을 삭제하지 않고 방치했으며, 개인정보처리시스템에 접근하는 인터넷주소(IP)를 제한하지 않는 등 보호조치를 하지 않았다.
이에 해커가 미사용 관리자 계정을 도용해 해킹을 시도해 고객 개인정보를 유출한 것으로 밝혀졌다.
또, 발란은 이용자에게 개인정보 유출 사실을 통지하는 과정에서 유출된 개인정보 항목과 유출 시점을 누락해 통지하는 등 개인정보 보호법을 위반했다.
현행 개인정보 보호법은 개인정보처리자가 개인정보 침해피해를 막는 보호조치를 해야 하며 피해 발생 시, 대상이 된 개인정보 항목과 시점을 24시간 안에 통지하게 규정하고 있다.
이에 발란 측 관계자는 11일 오전 “올해 초 발생한 개인 정보 침해 사안 심의 결과에 책임을 통감하며 위원회 결정을 엄중히 받아들인다”고 전했다.
발란은 지난 3월과 4월, 해킹 정황을 발견하고 즉각 모든 서비스에 대한 유출 의심 경로를 차단하고 웹사이트 취약점 점검을 포함한 보안 관련 제반 조치를 완료했다.
또, 지난 5월 사이버 보안 기업 SK쉴더스와 업무협약을 체결하고 보안 컨설팅을 진행해 위험에 상시 대응할 수 있는 실시간 보호체계를 구축했다. 24시간 365일 사이버 공격을 상시 모니터링하고 정보를 보호하는 보안 관제와 클라우드 보안 솔루션을 운영 중이다.