남석 개인정보보호위원회 조사조정국장이 28일 서울 종로구 정부서울청사에서 개인정보보호위원회) 전체회의에서 심의·의결한 개인정보보호법규 위반행위 제재에 대해 브리핑하고 있다. /뉴시스

[더팩트｜최문정 기자] 삼성전자와 LG헬로비전이 개인정보보호 법규 위반으로 각각 8억 원대, 11억 원대의 과징금을 물게 됐다.

개인정보보호위원회는 28일 전체회의를 열고, 이용자의 개인정보가 유출된 삼성전자에 과징금 8억7558만 원과 과태료 1400만 원을 부과하고 전반적인 보호체계 점검·개선 등 재발 방지대책 수립 등의 시정조치를 명하기로 의결했다.

개인정보위는 2020년 1월부터 2021년 5월까지 총 6건의 유출신고에 따라 조사에 착수했고, 이 중 4건을 심의·의결했다.

삼성전자는 삼성계정 시스템의 데이터베이스(DB) 제품을 변경하며 제품별 데이터 처리 방식의 차이를 고려하지 않아 시스템 오류가 발생해 개인정보가 유출(오류 260명, 열람 26명)됐다. 또한 삼성클라우드 서비스가 2020년 2월부터 5월까지 두 차례에 걸쳐 사이버 공격을 받아 76개 계정에서 이미지와 동영상 등이 유출됐다.

또한 삼성닷컴 온라인스토어 시스템에서는 개발 오류로 이용자가 타인의 배송정보를 조회하게 돼 개인정보가 유출(오류 62명, 열람 19명)됐다.

LG헬로비전은 홈페이지를 운영하며 안전조치의무를 소홀히 했다는 이유로 11억3179만 원의 과징금과 1740만 원의 과태료가 부과됐다.

개인정보위에 따르면 LG헬로비전은 알뜰폰 제공 관련 홈페이지에서 1대1 상담문의 게시판을 운영하면서 개인정보처리시스템에 대한 침입차단·탐지시스템 운영을 소홀히 한 것으로 조사됐다.

이러한 웹 취약점에 적절한 조치를 하지 않은 상태에서 해커의 공격을 받아 4만6134명의 개인정보가 유출됐다. 또한 초고속인터넷, 케이블TV 등의 서비스 제공 관련 홈페이지에서 소프트웨어 개발 회사가 공개한 세션 보안 취약점에 대한 업데이트를 하지 않아 세션 오류를 일으키며 이용자의 개인정보가 유출됐다. 이 과정에서 개인정보 유출 신고와 유출통지를 지연한 사실도 확인됐다.

아울러 개인정보위는 법령 근거 없이 주민등록번호를 수집·보관한 행위가 적발된 세무 서비스앱 삼쩜삼 운영사인 자비스앤빌런즈에 대해 과징금 8억5410만 원과 과태료 1200만 원을 부과하기로 의결했다. '주민등록번호 단순 전달 후 파기 및 보유 금지' 등의 시정명령도 내렸다.

자비스앤빌런즈는 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인과 소득 관련 정보의 수집, 세무대리인 수임 동의, 환급신고 대행을 한 사실이 확인됐다.

다만, 개인정보위는 이 회사가 현재는 절차를 개선해 환급 신고 대행 시에만 주민등록번호를 수집한 후 회원 탈퇴 시까지만 저장·보유하고 있다고 설명했다.

기공수련, 출판, 운동기구 판매 서비스를 제공하는 정보통신서비스 사업자인 타오월드는 침입차단시스템의 도입·운영과 취약점 점검 등을 소홀히 해 해커에게 1만3470명의 이용자 정보를 탈취당한 것으로 조사됐다.

또한 민감 정보에 해당하는 '건강 관련 정보'를 명확한 안내나 별도 동의 없이 수집·보관한 사실 등이 드러나 과징금 1054만 원과 과태료 1140만 원도 부과했다.

남석 개인정보위 조사조정국장은 "대규모 개인정보를 보유하거나 민감한 개인정보를 처리하는 사업자의 경우, 책임감을 갖고 이용자의 개인정보가 안전하게 보관되도록 기술적·관리적 보호조치 등의 법적 의무사항을 충실히 준수해야 한다"고 강조했다.

이어 "해킹 같은 외부 공격과 내부 원인에 의한 개인정보 유출 등은 주기적인 보안 최신화, 취약점 점검, 상시 교육 등의 노력을 통해 상당 부분 예방이 가능하다"고 주의를 당부했다.

munn09@tf.co.kr