[매일일보 박효길 기자] 방송통신위원회는 8일 전체회의를 열고 숙박앱 ‘여기어때’를 운영하면서 이용자의 개인정보를 유출한 ㈜위드이노베이션에 대해 △과징금 3억100만원 △과태료 2500만원 △책임자 징계권고 △위반행위의 중지·재발방지대책 수립 시정명령 △시정명령 처분사실 공표 등 엄정한 행정처분을 의결했다.

방통위는 사업자의 유출신고를 받고 지난 3월 23일부터 과학기술정보통신부·경찰청·한국인터넷진흥원(KISA)등과 함께 현장조사를 실시해, 관련자료 분석 및 재연을 통해 ‘여기어때 마케팅센터 웹페이지’의 취약점을 이용한 ‘SQL인젝션‘ 공격을 통해 해커가 개인정보를 탈취한 사실을 확인한 바 있다.

해커에게 유출된 개인정보는 ‘여기어때’ 서비스 이용자의 숙박예약정보 323만9210건과 회원정보 17만8625건(이용자 기준 중복제거 시 총 97만1877명)으로 파악됐으며, 이 중 유출된 숙박이용내역을 악용하여 음란문자 4817건이 발송된 것으로 나타났다.

이번 조사과정에서 ㈜위드이노베이션은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반하고 있는 것으로 나타났다.

특히, 정보통신서비스제공자는 개인정보의 안전한 보관을 위해 서비스 관리 웹페이지 등 개인정보처리시스템에 대해 필요한 최소한의 인력에게만 접근권한을 부여하고, 외부에서 쉽게 접속하지 못하도록 인가되지 않은 접근을 차단하는 한편, 이상접속을 탐지·차단하는 등 정보통신망법에서 정한 접근통제 조치를 취해야 한다.

하지만 ㈜위드이노베이션의 경우 △개인정보처리시스템 접근권한이 있는 개인정보취급자의 컴퓨터를 외부망으로 분리하지 않은 점 △적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법 유출 시도를 탐지하지 않은 점 △해킹을 당한 마케팅센터 웹페이지에 대해서 취약점 점검을 수행하지 않은 점 △고객상담사 등에게 접근권한을 과하게 부여한 점 △인사이동 시 취급자의 접근권한을 바로 변경하지 않아, 해커가 개인정보 파일을 다운로드한 점 등 정보통신망법 제28조 제1항에 따른 접근통제 조치 전반을 소홀히 한 점이 확인됐다.

방통위는 위와 같은 보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용된 점, 피해규모가 크고 유출된 개인정보를 활용한 문자발송 등 이용자 추가 피해가 확인된 점 등을 종합적으로 고려해 ㈜위드이노베이션의 위반행위를 ‘매우 중대한 위반행위’로 보고 ‘과징금’을 산정·부과했다.

아울러, 정보통신망법 개정에 따라 도입된 ’책임자 징계권고‘를 개인정보 유출사고 최초로 적용하기로 하고, ㈜위드이노베이션 대표자 및 책임 있는 임원에 대해 징계를 권고하고 그 결과를 방통위에 통보할 것을 의결하여, 개인정보 유출에 대한 정보통신서비스 제공자의 책임을 강조했다.