개인정보보호위원회는 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 1억 1,242만 원의 과징금과 1,440만 원의 과태료를 부과했다고 12일 밝혔다. 이들 사업자에는 머크㈜, ㈜디알플러스, ㈜온플랫이 포함되며, 개인정보 유출과 안전조치 미이행 등이 주요 위반 사유로 지적됐다.
머크㈜는 의약품 투약기록을 관리하는 신규 서비스를 출시하면서 보안 취약점을 점검하지 않아 최대 108명의 개인정보가 유출됐다. 서비스 오류로 인해 이용자가 동일인으로 인식되어 이전 사용자 정보가 노출되는 문제가 발생했으며, 유출 사실을 인지한 이후에도 24시간 내에 피해자 통지를 하지 않은 것으로 나타났다. 이에 따라 머크㈜는 과징금 8,000만 원과 과태료 600만 원을 부과받고, 위원회 홈페이지에 공표됐다.
㈜온플랫과 ㈜디알플러스는 SQL 삽입 공격에 의한 해킹으로 최소 80명, 98명의 개인정보가 각각 유출됐다. 두 업체 모두 개인정보처리시스템 접속 시 추가 인증 수단을 적용하지 않았고, 접속기록을 보관하지 않았으며, 디알플러스는 주민등록번호와 계좌번호를 암호화하지 않고 저장했다. 또한 디알플러스는 유출 신고와 통지를 지연한 사실도 드러났다.
이에 개인정보위는 ㈜디알플러스에 과징금 3,242만 원과 과태료 840만 원을 부과했으며, ㈜온플랫에는 시정명령과 함께 공표 조치를 내렸다. 온플랫은 수탁 사업자로서 과징금 부과 대상은 아니지만, 시정 명령과 재발 방지 대책 마련이 요구되었다.
개인정보보호위원회는 이번 조치를 통해 사업자들에게 서비스 출시 전 철저한 보안 점검과 널리 알려진 웹 취약점에 대한 상시 대비의 중요성을 다시 한 번 강조했다.
