개인정보위는 2024년 5월 28일 보람상조개발로부터 개인정보 유출 신고가 접수됨에 따라 조사에 착수해 안전조치의무 위반 및 수탁자에 대한 관리감독 소홀 등의 법 위반 사실을 확인했다.
개인정보위에 따르면 보람상조 홈페이지 통합 회원 및 온라인 상담 신청자 등의 이름, 휴대전화번호 등 개인정보 2만 7882건 유출이 유출됐다. 홈페이지 가입회원 976명의 생년월일과 성명, 구(재향) 홈페이지회원 1만2950명의 생년월일과 성별 등이 포함됐다.
조사 결과에 따르면, 보람상조개발은 보람상조리더 등 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해 왔으나, 해당 시스템과 관련하여 접근제어 등 안전성 확보 조치를 소홀히 하였던 것으로 드러났다.
더불어, 위탁사인 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있음에도, 이를 충분히 이행하지 않은 사실도 확인됐다.
이에, 해커가 홈페이지의 취약점을 이용한 ‘SQL 인젝션(Injection)’ 공격을 통해 해당 DB에 침입하여 이름, 휴대전화번호, 이메일 등 고객의 개인정보를 탈취한 것으로 확인됐다.
SQL 인젝션이란 웹 애플리케이션의 보안 취약점을 이용해 악의적인 SQL 구문을 입력하여 데이터베이스를 조작하거나 정보를 탈취하는 해킹 기법이다.
추가로, 보람상조개발이 유출 사실을 인지한 후 정보주체에게 지체없이 통지해야 함에도 법정 기한을 넘겨 통지한 사실과, 보유 기간이 경과한 개인정보를 파기하지 않고 보관한 사실도 확인됐다.
개인정보위는 보람상조개발에 안전조치의무 위반 등으로 과징금 5억 3100만 원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1140만 원을, 계열사에는 수탁자에 대한 관리·감독 책임을 물어 총 1150만 원의 과징금을 부과하고, 처분 내용을 사업자의 홈페이지에 공표하도록 명령했다.
아울러, 그룹 차원의 전반적 개인정보 처리 현황 점검·정비 및 의사결정체계 정비, 위수탁 관계 투명성 확보 등을 내용으로 하는 시정조치 명령을 통해 그룹 전체의 개인정보 보호 수준을 강화하도록 했다.
개인정보위는 이번 처분이 계열회사 등 다수 기업이 관련되는 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 발생할 수 있는 보안 사각지대를 경고했다는 데 의의가 있다고 강조했다.
위수탁 등을 통해 개인정보를 통합 처리하는 경우, 처리 체계의 투명성 확보가 중요하며, 위탁자는 수탁자의 개인정보 처리 현황 및 보호 조치 등을 실질적으로 관리·감독할 책임이 있다.
개인정보위는 “실태점검 및 감독을 강화해 나갈 예정이며, 현재 상조 분야 전반에 대해 개인정보 처리실태 점검 및 관행 개선을 위한 사전 실태점검을 진행 중”이라고 밝혔다.
