이메일계정 유출 '늑장' 고지한 MS, 과징금 5340만원

MS, 한국어 공지 11일만에 올려…개인정보위, MS 첫 제재
개인정보 유출한 그라운드원 등 6개 사업자, 총 8440만원 과징금·과태료

입력 : 2021-06-09 오후 3:15:08
[뉴스토마토 김동현 기자] 개인정보 유출 사태를 겪은 마이크로소프트(MS), 카카오(035720) 계열사 그라운드원 등 6개 사업자가 과징금·과태료 8440만원 처분을 받았다. MS의 경우 유출 사태에 대한 한국어 공지를 11일만에 올려 국내에서 개인정보와 관련해 첫 제재를 받았다.
 
개인정보보호위원회는 9일 10회 전체회의를 열고 MS, 그라운드원 등 6개 사업자에 5340만원의 과징금과 3100만원의 과태료를 부과하는 등 시정조치를 내렸다. 개인정보위는 해킹, 담당 직원 실수 등에 따른 개인정보 유출 사실을 신고·접수받아 조사에 착수했다. 한국인터넷진흥원(KISA)의 기술지원을 받아 조사한 결과 위법 사항을 확인했다.
 
MS는 개인정보처리 시스템 관리자 계정에 대한 접근통제 등을 하지 않아 일부 사용자의 개인정보가 유출됐고, 개인정보 유출 신고와 이용자에 대한 통지도 지연했다. 회사는 국내 이용자 140여개 이메일 계정을 유출하고도 늑장 통보한 것으로 나타났다. 박영수 개인정보위 조사1과장은 "MS가 개인정보 유출 이후 영문 통지는 24시간 내에 했지만 한국어 통지는 11일을 지연했다"며 "한국어 통지를 해야 하느냐 논란이 있었지만 변호사 자문 등을 통해 한국어를 사용하는 국내 이용자에게는 한국어 통지가 바람직하다는 의견으로 위반행위 처분을 했다"고 밝혔다.
 
윤종인 개인정보위 위원장이 9일 열린 10회 개인정보위 전체회의에서 발언하고 있다. 사진/개인정보위
 
그라운드원과 이노베이션아카데미도 개인정보 유출에도 신고와 통지를 지연해 과징금·과태료 처분을 받았다. 조사 결과 2개 사업자는 비밀번호 관리 소홀 등으로 주민등록번호가 암호화되지 않은 상태로 유출됐지만 이에 따른 개인정보 유출 신고나 통지를 지연한 것으로 나타났다. 송상훈 개인정보위 조사조정국장은 "사업자가 수집한 개인정보 관리를 소홀히 해 유출 사고가 발생하면 사기전화(보이스피싱) 등 범죄에 악용돼 2차 피해가 발생할 소지가 있다"며 "앞으로도 개인정보위는 개인정보 유출방지에 필요한 법적 의무를 위반한 행위에 대해 엄격한 법 집행을 이어갈 것이다. 이번 사례가 사업자가 개인정보 관리에 대해 각별한 주의를 기울이는 계기가 됐으면 한다"고 밝혔다.
 
이외에도 한국프로축구연맹은 개인정보를 제3자에게 제공할 때 동의를 거부할 권리 등을 고지하지 않은 것으로 확인됐다. 한국산악자전거연맹와 더블유엠오코리아 등 2개 사업자는 개인정보처리시스템 관리자 페이지에 대한 접근통제를 하지 않는 등 안전성 확보조치 의무를 이행하지 않았다.
 
개인정보위는 법규에 명시된 개인정보 유출 신고와 통지 의무, 안전성 확보조치 의무 등을 위반한 6개사 모두에게 과태료를 부과했다. 접근통제를 위반하거나 주민등록번호를 암호화하지 않은 MS 등 3개사에는 과징금을 부과하고, 개인정보취급자 관리 감독을 소홀히 한 그라운드원 등 3개사에는 개선권고 처분을 내렸다.
 
김동현 기자 esc@etomato.com
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
김동현 기자