개인정보 보호법규 위반 2개 사업자 제재

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 25일(수) 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 한국사회복지협의회 및 ㈜테크랩스에 대해 과징금 부과 등 제재를 의결했다.

올해 1월 한국사회복지협의회가 운영하는 ‘사회복지 자원봉사 정보관리시스템(VMS)’ 홈페이지(이하 ‘시스템 홈페이지’)의 비밀번호 변경 기능에 있던 취약점으로 인해, 해커가 홈페이지 데이터베이스(DB)에 보관되어 있던 회원 약 135만 명의 개인정보*를 열람 및 유출하는 사고가 발생했다.

* 아이디, 이름, 이메일, 생년월일, 성별, 주소, 연락처, 직업, 학교정보, 학력, 자격면허보유 여부(운전면허, 사회복지사, 간병사 등) 등 약 1,300만 건

개인정보위가 이번 유출사고에 대해 조사한 결과, 확인된 주요 위반사항은 다음과 같다.

먼저, 한국사회복지협의회는 ‘비밀번호’와 같은 주요 데이터를 변경하는 기능을 구현하면서 변경 요청자와 변경 대상자 일치 여부를 확인하지 않아, 제3자가 비밀번호를 변경할 수 있는 취약점이 발생하는 등 소스코드에 대한 점검을 소홀히 했다. 또 해커가 ①아이디(ID) 존재여부 확인, ②패스워드(PW) 일괄 변경, ③개인정보 조회 등을 위해 ’24.1.6.~7.간 시스템 홈페이지에 2천만 회 이상 접속했으나, 개인정보 유출 시도를 탐지·차단하지 못하는 등 안전조치를 다하지 못한 사실을 확인했다.

사진설명. 사건개요

아울러 한국사회복지협의회는 ’01.11월부터 정보주체가 주민등록번호를 입력하여야만 회원가입이 가능하도록 시스템 홈페이지를 운영하면서 회원 가입 시 주민등록번호를 대체할 수 있는 수단을 제공하지 않았다.

이에 따라, 개인정보위는 한국사회복지협의회에 대해 개인정보 보호법(이하 ‘보호법’) 제29조 안전조치의무 위반으로 4억 8,300만 원의 과징금을 부과하면서, 시스템 홈페이지 전반에 걸친 개인정보 보호 실태 점검·개선과 개인정보취급자에 대한 개인정보 보호 교육의 정기적 실시를 개선권고하였고, 유출에 책임이 있는 자에 대한 징계를 권고하는 한편, 처분 등을 받은 사실을 2일 이상 5일 미만의 기간 동안 기관 홈페이지 등에 공표하도록 명령하였다. 또한 같은 법 제24조의2제3항 주민등록번호 대체수단을 제공하지 않은 행위에 대해 540만 원의 과태료 부과를 결정했다.

* 지난해 공공기관의 개인정보 보호에 대한 책임성을 강화하기 위해 개정(′23.3.14. 개정, ′23.9.15. 시행)한 개인정보 보호법 규정 적용(공공기관도 개인정보 유출시 원칙적으로 과징금 부과)

아울러, 개인정보위는 주무부처인 보건복지부에 한국사회복지협의회의 보호법 위반에 대해 처분한 사실을 알리고, 개인정보 보호 수준 향상 및 유출사고 예방을 위해 산하 공공기관들에 대한 관리·감독 및 지원을 철저히 해달라고 요청할 계획이다.

㈜테크랩스는 국내와 대만 이용자 대상 3개의 데이팅 앱 서비스* 운영 기업으로, 자사 데이팅 앱 서비스에 가입된 회원의 프로필 사진을 이용하여 다른 국가에서 운영하는 자사의 또 다른 데이팅 앱 서비스에서 허위계정을 생성하고 직원을 동원해 활동하게 했다.

* (국내) 아만다, 너랑나랑 (대만) 연권

개인정보위 조사 결과, ㈜테크랩스는 3개 데이팅 앱 서비스에서 ’20. 10. 13. ~ ’21. 11. 16. 동안 총 276개의 허위계정을 생성하였고, 이들 중 일부 계정은 ’23. 11. 16.까지 유지되어 정상 회원과 자동매칭된 사실이 있다.

사진설명. 허위 계정 생성 과정

개인정보위는 이처럼 데이팅 앱에 업로드한 프로필 사진을 무단으로 이용한 행위는 정보주체가 동의한 개인정보 이용 범위를 벗어난 목적 외 이용으로, 정보주체의 권리·이익이나 사생활에 미칠 영향이 상당한 ‘매우 중대한 위반’에 해당한다는 입장이다. 이에 ㈜테크랩스에 대해 과징금 2억 2,400만 원을 부과하고 경찰에 ㈜테크랩스를 고발하는 한편, 처분 등을 받은 사실을 2일 이상 5일 미만의 기간동안 홈페이지 등에 공표하도록 명령했다. 또, 허위계정 생성에 프로필 사진이 이용된 회원에게 목적 외로 이용된 사실을 통지할 것을 권고하고 그 결과를 개인정보위에 알리도록 했다.

앞으로도 개인정보위는 일반 국민들의 개인정보를 대규모로 보유·운용하는 공공기관 및 기업들의 개인정보 관리에 대한 경각심을 높이는 한편, 사업자가 정보주체로부터 수집 시 동의 받은 목적 외로 개인정보를 이용하지 않도록 개인정보 보호법규 위반에 대해 엄정한 처분을 할 계획이다.

경제자유구역을 최고의 글로벌 비즈니스 거점으로

- 경제자유구역 출범 20주년 기념 국제포럼 열려

경제자유구역 출범 20주년을 기념하는 국제포럼이 10월 17일(화)~18일(수), 양일간 인천 송도 쉐라톤 그랜드 호텔에서 개최된다. 산업통상자원부와 인천경제자유구역청이 공동으로 개최하는 이번 국제포럼은 장영진 산업통상자원부 1차관, 유정복 인천시장을 비롯해 각 경제자유구역청장, 국내외 경제특구 및 유관기관 관계자, 학계 전문가 등 총 300여 명이 참석한다.

경제자유구역의 지난 20년을 돌아보고 향후 경제자유구역이 나아가야 할 방향을 제시하고자 개최되는 이번 포럼에서는 ‘글로벌 경제자유구역의 미래’라는 주제를 중심으로 각국의 경제특구 관계자와 전문가 등이 참여해 토론을 진행하고 이어지는 10월 18일(수)에는 ‘인천경제자유구역 20년 성과와 미래발전 방향’이라는 주제로 열띤 토론을 이어 나갈 예정이다.

한편, 이번 행사에 참석한 장영진 1차관은 축사에서 “경제자유구역은 외국인직접투자(FDI) 221억 불과 삼성바이오로직스·셀트리온·머크 등 국내외 7,100여 개 기업을 유치하고 21만 개의 일자리를 창출했다”면서 경제자유구역의 지난 20년을 높이 평가하고, “조만간 인센티브 강화와 규제완화 방안이 담긴 제3차 경제자유구역 기본계획을 발표할 것”이라면서 “이를 통해 경제자유구역이 최고의 글로벌 투자처가 될 수 있도록 노력하겠다”고 밝혔다.