인터파크 개인정보 유출 44.8억 과징금..'행정소송' 예고

[이데일리 김현아 기자] 지난 5월 해킹으로 2500여만건의 회원정보가 유출된 인터파크(108790)에 개인정보 유출사고 중 최대 금액인 44억8000만원의 과징금 및 2500만원의 과태료가 부과됐다.

하지만 이에 대해 인터파크 측은 주민 번호나 금융 정보 등 가장 민감한 개인정보가 유출되지 않았으며, 과징금 등이 과도하다는 이유로 행정소송을 예고했다.

방송통신위원회(위원장 최성준)는 6일 개인정보보호를 위한 기술적ㆍ관리적 보호조치 의무를 위반한 인터파크에 시정조치를 의결했다.

그간 방통위는 미래창조과학부와 공동으로「민ㆍ관합동조사단」을 구성하여 2016. 7. 25.부터 해킹경로 파악과 인터파크의 개인정보 처리·운영 실태에 대한 현장조사를 진행해 왔다.

경찰청으로부터 넘겨받은 해킹사고 관련자료(37종, 5테라바이트)와 인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 분석한 결과, 인적사항을 알 수 없는 해커는 2016. 5. 3.경부터 2016. 5. 6.경까지 지능형 지속가능 위협(APT) 공격방식의 해킹으로 이용자 개인정보 총 2540만3,576건(중복제거 시 2051만131명, 다만, 법인 및 개인 탈퇴회원 442만6240건은 아이디와 일련번호만 유출되어 개인정보 건수에서 제외)을 외부로 유출했다.

유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목으로 확인됐다.

방통위는 이번 개인정보 유출사고의 주요 원인은 정보통신망법 제28조제1항에 따른 기술적ㆍ관리적 보호조치 중 접근통제를 소홀히하여 ▲개인정보처리시스템에 대한 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 ‘최대 접속시간 제한 조치’ 등을 취하여야 하나, 개인정보처리자가 업무가 끝난 뒤에도 로그아웃을 하지 아니하고 퇴근하여 개인정보처리자의 컴퓨터(PC)가 해킹에 이용된 것 등으로 확인됐다고 밝혔다.

특히 인터파크는 ▲보관ㆍ관리하고 있는 개인정보량이 2500여만건으로 매우 방대하고 ▲여러 사업자와 개인정보를 공유하고 있기 때문에 이에 걸맞은 엄격하고 세밀한 개인정보 관리가 요구됨에도 ▲정보통신망법 제28조 제1항에 따른 접근통제 등 기술적ㆍ관리적 보호조치를 소홀히 하여 이용자의 개인정보가 유출되는 빌미를 제공하는 등 중과실이 있다고 판단하여 지금까지의 개인정보 유출사고 중 최대 금액의 과징금을 부과하는 등 엄정한 제재조치를 했다고 설명했다.

▲유출된 개인정보 현황 * 이용자가 장기간(1년) 서비스를 이용하지 않은 때는 즉시 파기하거나 별도 서버에 저장하여야 함(정보통신망법 제29조제2항) ** 법인 및 개인 탈퇴회원은 아이디와 일련번호만 유출되어 개인정보 산정 시 제외

최성준 위원장은 “반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다고 하면서, 이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다”고 말했다.

이어 “정부에서도 개인정보 유출로 인한 국민들의 불안과 피해를 최소화하기 위해 통신?쇼핑 등 생활밀접 분야 사업자들의 개인정보보호 법규준수 여부를 지속적으로 점검하고, 개인정보 불법유통이나 침해에 대해서는 연중 단속을 전개해나가겠다”고 밝혔다.

하지만 인터파크는 “개인정보 침해 사고로 인해 고객들에 심려를 끼친 점에 대해서 그 책임을 통감하고 있으며, 진심으로 머리 숙여 사과 드린다”면서도 과징금의 형평성 문제를 제기했다.

회사 측은 “금번 사고를 반면교사로, 보안 인프라 및 인력에 대한 투자 확대 및 고객 개인정보 보호 시스템을 업계 최고수준으로 강화하는 계기로 삼을 것”이라고 했다.

하지만 기존 최대 1억원에서 매출액의 3%까지 부과할 수 있도록 관련법이 최근 개정되었다는 이유만으로 대기업과 금융권, 통신사 등 유사한 사례에 대비해서 60배에 달하는 과징금을 산정한 것은 형평성이나 비례의 원칙에 맞지 않는 것 같다고 밝혔다.

특히 주민 번호나 금융 정보 등 가장 민감한 개인정보가 유출되지 않았으며, 북한의 소행이라는 점 외에는 개인정보 보호조치 의무의 일부 위반 사실과 개인정보 유출의 결과 사이에 인과 관계도 증명되지 않았다고 주장했다.

이에 따라 인터파크는 금번 방통위 의결과 관련해 적법한 절차를 통해 정확한 과실 여부 등을 올바로 밝히겠다고 했다.