‘주민번호 10만건 이상 유출된 중대 위반 행위“

지난해 회원 46만여명의 개인정보를 유출한 여행사 ㈜하나투어에 3억원이 넘는 과징금이 내려졌다. 2011년 3월 개인정보보호법 제정 이후 과징금을 부과받은 첫 사례다.

행정안전부는 지난 5일 ‘제1차 과징금부과위원회’를 열고 하나투어에 과징금 3억 2725만원과 임원대상 특별교육·징계권고 및 과태료 1800만원 처분을 의결했다고 6일 밝혔다. 하나투어는 지난해 9월 말 해킹으로 고객 46만 5198명과 임직원 2만 9471명까지 총 49만 4669명의 개인정보를 유출했다. 이 중에는 42만 4757명의 주민등록번호도 포함돼 있었다. 하나투어는 개인정보보호법 제정 이후 과징금을 부과받은 첫 기업이 됐다. 과징금부과위원회는 “주민번호 10만건 이상이 유출된 것은 매우 중대한 위법 행위”라고 강조했다.

행안부·방송통신위원회·한국인터넷진흥원은 지난해 10월 합동조사단을 꾸렸다. 하나투어 해킹경위와 함께 개인정보 관리실태를 현장 조사했다. 업무용 PC와 개별 데이타베이스(DB)에 저장돼 보관되던 회원과 임직원의 개인정보가 유출됐다. 임직원 정보 중에는 병역사항·장애·종교 등 민감한 사항도 있었다.

정부는 하나투어가 개인정보보호법의 안전성 확보조치 중 접근통제 및 암호화를 소홀히 한 것으로 판단했다. 일단 아이디·비밀번호만 확보되면 추가 인증 없이 내부 보안망 PC나 별도 DB에 접속할 수 있었다. 또 DB 서버에 접속할 때 최소한의 시간만 접속이 유지되도록 하는 ‘최대 접속시간 제한조치’도 위반했다. 주민번호가 들어 있던 PC에 파일들을 암호화하지 않는 등 ‘암호화 저장 및 전송조치’를 위반하기도 했다. 행안부는 이번 하나투어 과징금 부과를 계기로 개인정보보호 관련 자율점검 감독체계를 강화하기로 했다.

한편, 이번 조사로 하나투어가 보관 의무가 없는 고객정보를 파기하지 않고 관리하고 있다는 사실도 드러났다. 예약·여행이 완료된 후 5년이 지난 고객 221만 8257명의 개인정보, 2004~2007년에 수집돼 보관의무가 없는 41만 8403명의 주민등록번호도 파기하지 않았다.

오경진 기자 oh3@seoul.co.kr