'개인정보보호법 위반' 개인정보위, 호텔스컴바인·머니투데이방송 과징금·과태료 부과

개인정보보호위원회가 개인정보보호법을 위반한 호텔스컴바인과 머니투데이방송에 대해 각각 과징금·과태료 부과 처분을 내렸다.

개인정보위는 26일 정부서울청사에서 11회 전체회의를 열고 호텔스컴바인에 과징금 9450만원· 과태료 1600만 원, 머니투데이방송에 과징금 6778만 원·과태료 1140만 원을 부과하기로 의결했다고 27일 밝혔다.

호텔스컴바인은 2013년 호텔 예약플랫폼 개발 당시 ‘예약정보’만 조회할 수 있는 접근 권한으로, 예약정보와 카드정보까지 함께 조회 가능하도록 시스템을 설계한 것으로 개인정보위 조사 결과 드러났다. 해커가 피싱 수법으로 아이디·비밀번호를 탈취해 호텔스컴바인 시스템에 접속해 카드정보까지 접근할 수 있는 계정을 생성한 결과 한국 이용자 1246명의 이름과 이메일 주소, 호텔 예약정보, 카드정보가 조회·유출됐다. 호텔스컴바인의 개인정보 유출 통지 및 신고도 뒤늦게 이뤄졌다고 개인정보위는 설명했다.

2022년 9월 머니투데이방송은 운영 중이던 광고 공모전 사이트가 해커의 에스큐엘 주입(SQL 인젝션) 공격을 받아 관리자 계정 및 회원 개인정보 13만 3633건(중복 포함)이 유출됐다. 에스큐엘 주입 공격은 웹사이트 취약점을 이용해 악의적인 에스큐엘(데이터베이스 조회 등을 위해 사용하는 프로그램 언어)문을 실행되게 해 데이터베이스를 비정상적으로 조작하는 공격 방식이다. 머니투데이방송은 이 공격을 막을 수 있는 입력값 검증 등의 조치를 일부 누락한 것으로 조사 결과 확인됐다. 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않았다. 탈퇴한 회원의 정보를 파기하지 않고 보관 했으며, 개인정보 유출 통지를 지연했다고 개인정보위는 설명했다.