관리자 계정 털려 개인정보 다량 유출…하스·바텍엠시스, 1.9억 제재

(서울=뉴스1) 김지현 기자 = 개인정보보호위원회(개인정보위)는 관리자 계정 탈취로 개인정보가 대량 유출된 '하스'와 '바텍엠시스'에 대해 총 1억8820만 원의 과징금 및 780만 원의 과태료를 부과했다고 27일 밝혔다.

개인정보위는 이날 제24회 전체회의에서 두 회사가 개인정보보호 법규를 위반했다고 판단하고 이 같은 처분을 의결했다. 또 해당 사업자들을 대상으로 회사 홈페이지에 해당 결과를 공표하라고 명령했다.

두 회사는 모두 개인정보처리시스템 관리자 계정이 해커에게 탈취돼 회원 정보가 외부로 유출된 사례였다. 개인정보위 조사 결과 하스는 733명의 개인정보가, 바텍엠시스는 9637명의 개인정보가 각각 유출된 것으로 확인됐다.

개인정보위는 먼저 하스가 외부에서 관리자 페이지에 접속할 수 있도록 열어두고도 아이디·비밀번호 외 추가 인증수단을 적용하지 않았으며, 접속기록 보관 의무도 이행하지 않았다고 판단했다.

또 다크웹에 개인정보가 게시됐다는 한국인터넷진흥원의 반복 통보에도 불구하고 유출 신고와 통지 조치를 지연한 사실이 확인됐다. 개인정보위는 하스에 과징금 1억3300만 원과 과태료 780만 원을 부과하고 공표를 명령했다.

바텍엠시스 역시 다수의 개인정보취급자가 관리자 권한이 부여된 하나의 계정을 공유해 사용했고, 외부 접속이 가능하도록 시스템을 운영하면서도 안전한 인증수단을 적용하지 않았다.

접속기록 점검을 소홀히 한 점도 위반 사항으로 지적됐다. 개인정보위는 바텍엠시스에 과징금 5520만 원과 홈페이지 공표 명령을 부과했다.

개인정보위는 "관리자 페이지 해킹이 올해 개인정보 유출 신고 중 가장 큰 비중을 차지하고 있다"며 "개인정보처리자에게 IP 기반 접속 제한과 OTP·보안토큰 등 추가 인증수단을 적용해야 한다"고 강조했다.

아울러 "관리자 권한 최소화, 계정 공유 금지, 정기적인 웹 취약점 점검 등 보안 조치를 지속적으로 이행해야 한다"고 밝혔다.

mine124@news1.kr