[뉴스토마토 박준형 기자]
모두투어(080160)가 홈페이지 해킹으로 이용자 개인정보 유출된 사실을 소비자들에게 해당 사실을 뒤늦게 공지해 논란입니다. 해킹 사실을 홈페이지에 통지한 이후 보름이 지나서야 소비자들에게 해당사실을 직접 통지했기 때문입니다. 홈페이지 공지 역시 해킹 사실을 인지하고 3개월이나 늦게 공지했는데, 여행사 매출이 몰리는 성수기를 피해 고의로 공지를 미룬 것이 아니냔 지적도 나옵니다.
26일 관련 업계에 따르면 모두투어는 이날 모두투어 회원들에게 ‘모두투어네트워크 개인정보 유출사실 통지’ 사실을 문자로 발송했습니다. 지난 12일 홈페이지를 통해 개인정보 유출 사실을 공지한지 보름여 가까이 지난 시점입니다.
모두투어는 해당 문자 메시지 발송에 앞서 지난 12일 홈페이지를 통해 개인정보 유출 사실을 공지했습니다. 이 역시 개인정보 유출이 발생한지 3개월여 지난 후에야 이뤄진 것입니다. 소비자들이 여행 예약을 할 때가 아닌 이상 매일 같이 모두투어 홈페이지를 이용하지는 않는 만큼 직접적인 통지가 동시에 이뤄졌어야 하지만 홈페이지 공지 후 소비자들에 대한 개별 공지는 더욱 늦어졌습니다.
개인정보 유출에 대한 소비자 직접 통지가 뒤늦게 이뤄면서 일각에서는 모두투어가 소비자들을 기만하고 늦장 대응을 했다고 지적하고 있습니다.
실제 인터넷 커뮤니티를 중심으로 모두투어의 늦장 대응으로 2차 피해가 우려된다는 지적이 나오고 있습니다. 익명의 소비자는 “모두투어에서 개인정보 유출여부 확인서비스를 이용하라는 문자를 받았는데 개인정보 유출 이후 개인정보를 인증하는 것이 찝찝해 하지 않았다”면서 “개인정보 유출 이후 한참이지나 문자만 띡보낸 것이 이해가 안된다”고 밝혔습니다.
개인정보 유출 공지가 늦어진 것과 관련해 여행사 매출이 집중되는 성수기를 피해 일부러 고객들에게 공지를 늦춘 것이 아니냐는 지적도 나옵니다. 한 소비자는 “소비자들이 몰리는 휴가철을 피해 일부터 늦게 공지한 것이 아니냐”고 말했습니다.
모두투어는 공지와 동시에 문자 메지시를 발송했다는 입장입니다. 모두투어 관계자는 “공지 당일부터 개인정보 유출 고객 대상 문자 메시지를 발송하기 시작했고 오늘(26일)까지 모든 고객을 대상으로 발송이 완료될 예정”이라면서 “한국인터넷진흥원(KISA)으로 부터 받은 사고보고서에는 테스트 번호 등 허수가 워낙 많았기 때문에 개인정보 유출 규모를 파악하고 공지하려다 보니 늦어졌다”고 해명했습니다.
‘개인정보 보호법’ 시행령에 따르면 정보통신서비스제공자는 개인정보 유출사고가 발생했을 경우 이를 인지한 후 72시간 내 개인정보보호위원회에 신고해야 합니다. 또 개인정보 유출 사실을 홈페이지 공지사항이나 문자 메시지 등으로 통지해야 합니다.
모두투어에 따르면 지난 6월 홈페이지 내 악성코드가 삽입된 사실을 인지했습니다. 모두투어 홈페이지 해킹이 발생한 시점은 지난 6월11일로 확인됩니다. 모두투어는 “최근 당사 홈페이지 내 악성코드가 삽입(2024년 6월 경)되어 회원정보와 비회원으로 예약 시 입력된 정보 중 일부가 유출된 것을 확인했다”며 “유출된 개인정보 항목은 한글 이름, 영문 이름, 아이디, 생년월일, 핸드폰번호, CI, DI 등”이라고 밝혔습니다.
개인정보보호위원회 관계자는 “개인정보보호법상 개이정보 처리자가 개인정보를 분실, 도난, 유출했을 경우 이를 72시간 이내에 정보주체에게 알려야 한다”면서 “해당 사실을 통지하지 않을 경우 3000만원 이사의 과태료 부가 대상”이라고 밝혔습니다. 이어 “과태료 부과는 조사 이후 과실여부 등을 파악해 이뤄지고 세부적인 규정이 있다”고 덧붙였습니다.
(사진=뉴스토마토 홈페이지 캡처)
박준형 기자 dodwo90@etomato.com