UPDATED. 2022-09-25 19:53 (일)
발란, 미사용 관리자 계정 방치… 고객정보 유출로 이어져
발란, 미사용 관리자 계정 방치… 고객정보 유출로 이어져
  • 박광하 기자
  • 승인 2022.08.11 07:38
  • 댓글 0
이 기사를 공유합니다

개인정보보호위원회
안전조치 의무 위반 확인
과징금 5억1259만원 부과
발란의 개인정보 유출 관련 사과문.
발란의 개인정보 유출 관련 사과문.

[정보통신신문=박광하기자]

해킹을 통해 고객의 개인정보가 유출된 온라인 명품 플랫폼 '발란'이 과징금·과태료 처분을 받았다. 부과된 과징금과 과태료를 합치면 5억2000만원을 훌쩍 뛰어넘는다.

개인정보보호위원회(위원장 윤종인)는 8월 10일 제13회 전체회의를 개최하고, 개인정보 보호법을 위반한 ㈜발란에 과징금 5억1259만원과 과태료 1440만원을 부과하기로 결정했다.

온라인 명품 쇼핑몰을 운영하는 발란은 신원을 알 수 없는 해커의 공격을 받아 지난 3월과 4월 두차례에 걸쳐 약 162만건의 고객 이름, 주소, 휴대전화번호 등 개인정보를 유출당했다.

또한, 소셜로그인 기능 오류로 이용자 식별정보가 중복됨에 따라 다른 이용자에게 개인정보가 노출되는 사고까지 일어났다.

조사 결과, 발란은 사용하지 않는 관리자 계정을 삭제하지 않고 방치했으며, 개인정보처리시스템에 접근하는 인터넷주소(IP)를 제한하지 않는 등 보호조치를 제대로 하지 않았다.

이에 해커가 미사용 관리자 계정을 도용해 해킹을 시도, 고객의 개인정보를 유출한 것으로 조사 결과 밝혀졌다.

기본적인 사이버보안 조치만 했더라도 이번 피해는 발생하지 않았을 것이란 뜻이다.

아울러, 발란은 이용자에게 개인정보 유출 사실을 통지하는 과정에서 유출된 개인정보 항목과 유출 시점을 누락해 통지하는 등 개인정보 보호법을 위반한 사실도 확인됐다.

현행 개인정보 보호법은 △개인정보처리자가 개인정보 침해피해를 막기 위한 보호조치를 취해야 하며(제29조), △침해피해 발생 시 대상이 된 개인정보 항목 및 시점 등을 포함한 정보를 24시간 안에 피해자들에게 통지(제39조의4)해야 한다고 규정하고 있다.

양청삼 개인정보위 조사조정국장은 "온라인 쇼핑몰, 특히 웹호스팅 서비스를 이용하는 쇼핑몰을 겨냥한 해킹 공격이 지속적으로 발생하고 있다"며 "쇼핑몰 창업 초기에는 이용자 수 확보, 투자 유치 등 규모 확장에 집중하기 쉽지만, 이용자의 개인정보 보호에도 관심을 갖고 보안 취약점을 주기적으로 점검하는 등 보호조치 강화에도 힘써야 한다"고 강조했다.

발란 해킹 사건으로 개인정보가 유출된 피해자들은 별도의 소송을 제기하지 않았다면, 개인정보분쟁조정위원회 웹사이트를 통해 분쟁조정을 신청할 수 있다.

한편, 발란은 이번 처분에 대해 "심의 결과에 대해 깊은 책임을 통감하며 개인정보위의 결정을 엄중하게 받아들인다"고 입장을 전했다.

발란은 지난 3~4월, 허가받지 않은 외부 접속자가 회원 정보에 비정상적인 방식(의도된 해킹)으로 접근한 정황을 발견하고, 즉각적으로 모든 서비스에 대한 유출 의심 경로(해당 IP 및 우회 접속 IP 포함)를 차단하고 웹사이트 취약점 점검을 포함한 보안 관련 제반의 보완조치까지 완료했다고 설명했다.

이어, 지난 5월에는 사이버보안 기업 SK쉴더스와 업무협약을 체결하고 서비스 전반에 걸친 보안 컨설팅을 진행해 위험요소를 사전에 파악하고 상시 대응할 수 있는 실시간 보호체계를 구축했다고 밝혔다.

24시간 365일 사이버 공격을 상시 모니터링하고 정보를 보호하는 보안 관제와 클라우드 보안 솔루션을 운영해 더는 같은 일이 발생하지 않도록 조치했다는 것이다.

발란은 "업계 최고 수준의 보안 전문 인력을 구성하는 등 고객 정보보호를 위한 투자를 대폭 늘렸으며 믿고 이용할 수 있는 안전한 럭셔리 플랫폼이 될 수 있도록 고객 정보보호를 최우선에 두겠다"며 "고객들께 다시 한번 머리 숙여 깊이 사과드린다"고 말했다.

김해숙 개인정보보호위원회 조사3팀장이 8월 10일 오후 서울 종로구 정부서울청사 3층 합동브리핑룸에서 온라인 쇼핑몰 '발란'에 대한 제재처분 결과를 브리핑하고 있다. [사진=개인정보위]
김해숙 개인정보보호위원회 조사3팀장이 8월 10일 오후 서울 종로구 정부서울청사 3층 합동브리핑룸에서 온라인 쇼핑몰 '발란'에 대한 제재처분 결과를 브리핑하고 있다. [사진=개인정보위]

관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-09-25
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트