Skip to content
3월 22일, 개인정보보호위원회가 법규를 위반한 6개 사업자에 대해 과징금과 과태료를 처분했다는 소식이에요. 이 중 5곳은 모두 접근 통제를 소홀히 하여 이용자들의 개인정보가 유출된 곳이에요.
(과징금액+과태료액 / 개인정보 유출 건수)
• 한국맥도날드( 7억 666만 원 / 4,876,106명) – 개인정보가 포함된 백업파일이 SMB 프로토콜*을 통해 접속될 수 있도록 운영, 휴면 고객정보 미파기, 유출 신고·통지 지연
• 삼성증권(1억 160만 원 / 48,122명) – 디렉토리 리스팅** 취약점 조치를 하지 않음, 관리자 페이지 인증절차 누락, 개인정보처리시스템 접속기록 관리 미흡
• 아이마켓코리아(2,195만 원 / 4,894명) – 개인정보처리시스템 접근권한을 설정하지 않음
• 브리티쉬아메리칸토바코코리아(4,098만 원 / 1,540명) – 개인정보처리시스템 접근권한을 설정하지 않음
• 카라솔루션(1,578만 원 / 1,664명) – 검색엔진에 관리자 페이지 URL 노출, 외부에서 개인정보처리시스템 접속 시 안전한 인증수단을 적용하지 않음
*SMB 프로토콜: 네트워크 파일 공유 프로토콜(규칙)
**디렉토리 리스팅: 특정 디렉토리(폴더)를 웹 브라우저에서 열람하면 해당 디렉토리(폴더) 내 목록과 파일이 직접 조회될 수 있도록 설정하는 옵션
위 5곳과 달리, ‘제이케이클럽’은 개인정보 수집·이용 동의사항 위반으로 제재를 받았어요. ‘제이케이클럽’은 일반 의류 쇼핑몰 운영사로, 온라인 쇼핑몰 사이트를 웹호스팅 업체를 통해 구축해서 운영하고 있었어요. 하지만 웹호스팅 업체에서 기본 제공한 동의 문구를 제이케이클럽의 운영 상황에 맞게 수정하지 않고, 이 부분을 아예 공란으로 두었어요. 개인정보 수집·이용 동의를 받으면서 법적 고지사항 전부를 이용자에게 안내하지 않은 거죠. 심지어 동의를 하지 않아도 회원가입을 할 수 있었어요.
앞선 ‘제이케이클럽’의 사례는 홈페이지 제작 및 관리 인력이 부족한 사업자들이 웹호스팅 업체를 사용하면서 발생하는 경우가 많은데요. 카페24나 아임웹 같은 웹호스팅 업체를 사용하여 홈페이지를 구축하더라도, 업체 측에서 제공하는 기본 문구나 템플릿을 개인정보 관련 법규에 따라 회사에 맞게 수정해서 이용해야 해요.
관련
Posted by