마이크로소프트(MS)가 개인정보보호위원회로부터 시정조치를 받았습니다.
기술적 보안 조치를 제대로 하지 않아 이용자 개인정보가 유출됐기 때문입니다.
개인정보보호위원회는 오늘 오전 10시 정부서울청사에서 제10회 전체회의를 열고, 개인정보보호 법규 위반행위에 대한 시정조치를 심의·의결했습니다.
MS의 경우 개인정보처리 시스템 관리자 계정에 대한 접근통제 등을 제대로 하지 않아 일부 사용자 개인정보가 유출된 것으로 나타났습니다.
전세계에서 11만9000여 개의 이메일 계정이 유출됐는데 이 가운데 대한민국 이용자 이메일은 144개로 확인됐습니다.
박영수 개인정보위 조사1과장은 "개인정보처리 수탁사업자의 관리자 계정 생성규칙을 잘못 적용해 해당 계정에 누구나 접근 가능한 상태가 지속됐는데 아무도 알지 못했다"며 "성명, 생년월일, 성별, 이메일 주소, 내장폴더 정보, 이메일 제목 및 수·발신에 이용된 타인 명의의 이메일 주소 등이 포함됐다"고 설명했습니다.
나아가 MS는 개인정보 유출 사고를 인지하고도 한국어로 통지하는 것을 제때에 하지 않은 점도 과태료 부과 사유에 포함됐습니다.
MS는 개인정보 유출사고를 인지하고 영문 통지는 전체 사용자에게 24시간 이내에 바로 했지만, 한국어 통지는 11일이 지나서야 이뤄졌습니다.
MS 측은 개인정보보호위 측에 나라별로 관계 법령 파악과 번역 작업 등을 거치느라 시간이 걸렸다는 취지로 해명했다고 합니다. 개인정보보호위 관계자는 다른 나라들의 경우 모국어로 통지하기까지 얼마나 지연되었는지에 대해선 따로 파악하지 않다고 밝혔습니다.
박 과장은 "한국어를 사용하는 대한민국 이용자에 대해서도 바로 통지가 이뤄지는 것이 바람직하다고 판단해 개인정보 보호법 위반행위로 봤다"며 “MS에 대한 첫 제재 사례로, 개인정보위는 글로벌 사업자에 대해서도 국내 사업자와 동일하게 역차별이 생기지 않도록 처분해 나갈 것"이라고 말했습니다.
개인정보위 심의·의결을 통해 과징금 340만원, 과태료 1300만원을 오늘 부과받았습니다.
이밖에 카카오그룹 계열사인 ㈜그라운드원 등 6개 사업자에 대해 총 5340만원의 과징금과 3100만원의 과태료가 부과됐습니다.
그라운드원과 이노베이션 아카데미는 비밀번호 관리 소홀 등으로 주민등록번호가 암호화되지 않은 상태로 유출됐습니다. 이에 따른 개인정보 유출 신고나 통지를 지연했습니다. 각각 2500만원의 과징금을 부과받았으며 그라운드원은 600만원, 이베노베이션 아카데미는 300만원의 과태료 처분도 받았습니다.
더블유엠오코리아의 경우에도 서버 오류를 이용해 관리자 권한을 얻은 '에스큐엘(SQL) 인젝션' 해킹 공격을 당해 1만8592명의 개인정보가 유출됐습니다. 한국프로축구연맹은 개인정보를 제3자에게 제공할 때 동의를 거부할 권리 등을 고지하지 않은 것으로 확인됐습니다.
송상훈 개인정보위 조사조정국장은 “사업자가 수집한 개인정보 관리를 소홀히 해 유출 사고가 발생하면 보이스피싱 등 범죄에 악용돼 2차 피해가 발생할 소지가 있다”며 “이번 사례가 사업자들이 개인정보 관리에 대해 각별한 주의를 기울이는 계기가 됐으면 한다”고 말했습니다.