수탁자의 위반행위는 과징금·과태료 등의 제재 대상
개인정보보호위원회(위원장 고학수)는 22일 제19회 전체회의를 열고, 개인정보보호 법규를 위반한 2개 사업자에 대해 시정조치 명령을 의결했다.
엠비아이솔루션(주)은 2만여 고객사에게 웹 기반으로 상담용 채팅솔루션(해피톡)을 제공하는 사업자로, 해커가 관리자 계정으로 서버에 접속해 이름·전자우편·주문내역 등이 포함된 고객사의 상담내역 8만7270건이 유출됐다.
조사 결과, 엠비아이솔루션(주)은 데이터베이스(DB)에 접속할 수 있는 관리자 계정의 비밀번호를 형상관리서버에 암호화하지 않은 채 저장했고, 개인정보처리시스템에 대한 접근통제, 접속기록 관리 등 개인정보 안전성 확보에 필요한 조치를 소홀히 한 사실이 확인됐다.
형상관리서버라는 것은 소프트웨어 개발을 위한 전체 과정에서 발생하는 모든 항목의 변경 사항을 관리하기 위한 개발환경이다.
다배송은 유럽 등에 소재한 50여 개 고객사의 상품을 한국으로 배송 대행해 주는 업체로, 배송정보 관리자 페이지에 대한 로그인 검증 절차를 누락하여 누구라도 해당 페이지에서 배송자의 개인정보(이름·주소·전화번호·개인통관부호 등)를 조회할 수 있도록 소홀히 운영해 700건의 배송정보가 유출된 사실을 확인했다.
아울러 2개 사업자 모두 개인정보가 유출된 이용자를 대상으로 개인정보가 유출된 사실을 통지하지 않았다.
이에 따라 개인정보위는 2개 사업자 모두에게 다수 위탁사의 개인정보 처리를 대행하는 대형 수탁자로서 개인정보보호 관련 책임의식을 갖고 '개인정보 보호법'에서 규정하고 있는 ‘안전조치 의무’와 ‘유출통지 의무’를 준수할 것과 재발방지대책을 수립·이행할 것 등을 내용으로 하는 시정조치 명령을 의결했다.
이번에 처분한 2개 사업자는 수탁자로서, 21만 일반 개인정보처리자와 같이 (구)'개인정보 보호법'상 개인정보 처리에 관한 의무조항이 준용되어 시정조치 명령을 의결했으나, 최근 개정된 '개인정보 보호법'에서는 변화된 환경에 맞춰 수탁자에 대해서도 위반행위에 대한 처분을 규정하고 있는 바, 현 보호법 시행일(’23.9.15.) 이후 발생하는 수탁자의 위반행위는 과징금·과태료 등의 제재 대상이 되므로 더욱 각별한 주의가 요구된다.
특히 다수의 위탁자로부터 개인정보 처리를 위탁받은 대형 수탁자는 처리하는 개인정보의 규모가 크기 때문에, 강화된 개인정보보호 책임의식을 가지고 안전조치 의무를 다할 수 있도록 상시 점검해야 할 필요가 크다.
