306만 명 개인정보 털린 모두투어에 과징금 7억5000만 원

신원 미상 해커, 악성코드 심어 공격
이름·생년월일·연락처 등 유출
유출 인지 2개월 후 '늑장 통지'

지난 2022년 서울 중구 모두투어 사무실에서 직원들이 업무를 보고 있다. 뉴시스

해커 공격으로 306만여 명의 개인정보가 유출된 모두투어네트워크에 7억5,720만 원의 과징금과 과태료가 부과됐다.

개인정보보호위원회(개보위)는 제6회 전체회의(12일)에서 개인정보 보호 법규를 위반한 모두투어네트워크에 과징금 7억4,700만 원과 과태료 1,020만 원을 부과하기로 의결했다고 13일 밝혔다. 홈페이지에 처분받은 사실을 공표하도록 명령하고, 내부 개인정보 보호 관리 체계를 개선할 것도 요구했다.

앞서 지난해 6월 신원 미상의 해커는 모두투어네트워크가 운영하는 웹페이지의 파일 업로드 기능이 취약하다는 점을 이용해 악성코드를 심은 다수의 '웹셸(Web Shell)' 파일을 올렸다. 이후 악성코드를 실행해 고객 정보 데이터베이스에서 회원·비회원 306만여 명의 이름, 생년월일, 성별, 전화번호 등 개인정보를 탈취했다.

개보위는 같은 해 7월 모두투어가 개인정보를 유출했다는 신고를 접수해 조사한 결과, 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 과실을 확인했다. 해커의 웹셸 공격을 예방하기 위한 파일 확장자 검증 및 실행 권한 제한 등 보안 점검·조치도 소홀했다. 개인정보 유출 시도에 탐지·대응하는 접근 통제 조치도 미흡했던 것으로 드러났다.

특히 2013년 3월부터 수집한 316만여 건(중복 포함)의 비회원 개인정보를 보유 기간이 지났음에도 파기하지 않으면서 유출 규모가 불어난 것으로 밝혀졌다. 또 유출 한 달 뒤 개인정보 유출 사실을 인지했지만, 정당한 사유 없이 2개월이 지난 뒤에야 사실을 통지했다. 개인정보보호법상 개인정보 유출을 인지하면 72시간 내 사실을 알려야 하는 의무가 있다.

권정현 기자 hhhy@hankookilbo.com