[뉴스토마토 배한님 기자] 개인정보보호위원회(개인정보위)는 8일 제20회 전체회의를 열고 개인정보 보호법규를 위반한 24개 사업자에 대한 처분을 의결했다. 이 중 8개 사업자는 개인정보 처리 시 안전성 확보 조치를 제대로 하지 않았거나 담당자 실수로 개인정보가 유출되는 등 관련법을 위반해 총 3320만원의 과태료와 시정조치를 받았다. 나머지 16개 사업자는 영상정보처리기기(CCTV) 운영 의무사항인 안내판을 설치하지 않아 총 2100만원의 과태료가 부과됐다.
사업자별 개인정보 보호법 위반 내용 및 시정조치. 자료/개인정보보호위원회
인스타그램(인스타그램 LLC)은 지난 2016년부터 2019년 3월까지 암호화 조치 없이 국내 이용자 8200여 명의 비밀번호를 평문으로 저장·보관해 500만원의 과태료 처분받았다.
청주시자원봉사센터는 한 직원이 자원봉사포털에서 청주지역 자원봉사자 3만1341명의 명단을 내려받아 국회의원 선거 캠프에 제공해 600만원의 과태료가 부과됐다. 이 과정에서 청주시자원봉사센터가 개인정보가 보관된 시스템 접근권한을 차등 부여하지 않고, 접속기록조차 점검하지 않았다는 사실도 밝혀졌다. 아울러 정보주체에게 유출 통지도 늦게 한 것으로 확인됐다.
박영수 개인정보위 조사1과장은 "이 건은 지난해 5월 검찰이 해당 국회의원에 대한 압수수색 과정에서 개인정보를 확인한 사항"이라며 "해당 의원이 검찰 입건으로 형사처벌돼 의원직을 이미 상실한 상황이어서 개인정보위 차원에서의 처분은 없었다"고 설명했다.
사단법인 정보산업연합회와 주식회사 슈빅은 해킹을 당해 보유하고 있던 회원 정보가 다크웹 등에 유출돼 각각 660만원과 600만원의 과태료가 부과됐다. 2개사 모두 보유기간이 지난 개인정보를 삭제하지 않고 보관했으며, 시스템 접근통제나 비밀번호 암호화 조치 등 개인정보 안전성 확보 조치도 소홀히한 사실이 확인됐다.
사단법인 정보산업엽합회에서는 산하기구 누리집 회원정보 3587건과 행사 참석자 1만9841건으로 총 2만3000여 건의 개인정보가 유출됐다. 단체 홈페이지와 단체 회원 수첩 솔루션을 개발하는 슈빅에서는 위탁 운영 중이던 동창회 등의 누리집 및 온라인 쇼핑몰 회원 총 157만986명의 개인정보가 해킹으로 유출됐다.
한국사회복지사협회는 웹페이지 접근통제 등 안전조치 미흡으로 회원정보를 조회할 수 있는 웹페이지가 인터넷 검색엔진에 노출돼 과태료 360만원 처분받았다. 주식회사 대연은 구글 설문지 이용 시 설문 옵션을 '공개'로 잘못 설정해 응답자의 개인정보가 타인에게 공개돼 300만원의 과태료를 부과했다. 주식회사 롯데푸드는 인사담당자 등 직원을 대상으로 개인정보 관리 감독을 소홀을 개선권고 받았고, 주식회사 창의와 탐구는 학원관리시스템의 접근통제 미흡으로 과태료 300만원을 내야한다.
사업자별 CCTV 설치·운영 관련 개인정보 보호법규 위반 내용 및 시정조치. 자료/개인정보보호위원회
○○○○의원은 병원 탈의실에 CCTV를 설치·운영해 500만원의 과태료를 부과했다. 공사현장 등 공개된 장소에 CCTV를 설치·운영하면서 이에 대한 안내판을 설치하지 않은 14개 사업자도 각각 100만원의 과태료 처분을 받았다. 해당 사업자들은 조사 과정 중 안내판 설치 등을 시정완료했다. 최○○씨는 주거지 외부에 CCTV를 설치·운영하면서 안내판을 설치하지 않았으며, 조사가 완료될 때까지 위반행위를 시정하지 않아 감경 없이 200만원으로 과태료 전액을 부과했다.
송상훈 개인정보위 조사조정국장은 "개인정보의 안전한 관리를 위해 임직원 등 개인정보취급자를 대상으로 지속적인 교육 및 관리·감독을 해야 한다"며 "개인정보 처리업무를 위탁한 경우에도, 수탁자에 대한 관리·감독을 철저히 해야 하며, 수탁자들도 개인정보 보호 법규 준수 의무가 있음을 분명히 해야한다 "고 강조했다.
제20회 개인정보보호위원회 전체회의. 사진/개인정보보호위원회
배한님 기자 bhn@etomato.com