'개인정보 보호법' 위반 미스터피자 등 6곳 '과징금'

미스터피자 등 6곳이 개인정보 보호법을 위반해 개인정보보호위원회의 제재를 받는다.

개인정보보호위는 온라인 서비스를 제공하면서 개인정보 보호법 상 안전조치와 유출 통지 의무를 위반한 미스터피자·야놀자 등 6곳에 대해 1억9699만원의 과징금과 4710만원의 과태료를 부과한다고 25일 밝혔다.

온라인 피자주문 서비스 업체인 디에스이엔은 시스템 개발 과실로 그동안 관리자 페이지 주소를 입력하면 누구나 타인의 주문정보를 볼 수 있던 사실이 드러났다.

미스터피자는 디에스이엔으로부터 분할 설립될 당시 고객정보를 이전받은 후 보유기간이 경과한 주문정보를 파기하지 않아 개인정보 보호에 소홀했다는 지적을 받았다.

야놀자에프엔비솔루션은 데이터 저장소의 기본 설정값을 공개로 설정해 그동안 누구나 해당 주소로 접속하면 고객의 개인정보에 접근할 수 있었다.

LED 마스크 등을 판매하는 에스티지24는 이벤트 진행 과정에서 일부 당첨자의 선물 수령 정보에 다른 당첨자의 수령 정보가 저장돼 열람된 사실이 확인됐다. 

펀잇은 외부에서 관리자 페이지에 접속할 때 아이디와 비밀번호 이외에 안전한 인증수단을 적용하지 않은 것이 확인됐다.

하이플레이는 해커가 관리자 계정으로 데이터 관리프로그램에 접근해 1409건의 개인정보를 빼돌렸다.

하이플레이는 법적인 근거없이 이용자의 주민등록번호를 수집한 사실도 적발됐다.

디에스이엔, 야놀자에프앤비솔루션, 에스티지24, 펀잇, 하이플레이 등 5개 사업자는 유출인지 후 24시간 안에 유출 사실을 알리지 않아 개인정보 보호법 상 유출통지·신고 의무도 제대로 지키지 않았다.

개인정보보호위 관계자는 "사업자는 개인정보처리시스템에 접속 가능한 IP주소 제한 등 보안장비 설치·운영 이외에 시스템상 보안에도 주의해야 한다"며 "관리자 계정으로 외부망에서 접속하는 경우 2차 인증을 적용하고 보유기간이 지난 개인정보는 즉시 파기해야 한다"고 말했다.