[시민일보 = 이대우 기자] 고객 306만여명의 개인정보 유출사고가 발생한 모두투어네트워크가 과징금 7억5720만원의 과징금과 과태료를 부과받았다.

개인정보보호위원회는 지난 12일 제6회 전체회의를 열고 개인정보보호법을 위반한 모두투어네트워크에 이같은 과태료를 부과하고 공표 명령 및 개선 권고하기로 의결했다고 13일 밝혔다.

개인정보위 조사결과 지난 2024년 6월 신원미상의 해커는 모두투어네트워크가 운영하는 웹페이지에 파일 업로드 취약점을 이용해 다수의 '웹셸 파일'을 올렸다.

이어 해당 파일에 심어둔 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여명의 개인정보를 탈취했다. 이곳에는 고객의 한글·영문 이름, 생년월일, 성별, 휴대전화번호 등이 담겨 있었다.

모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점을 점검해야 했으나 이를 소홀히 했다. 아울러 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.

또한 2013년 3월부터 수집한 비회원 316만여건(중복 포함)의 개인정보를 보유기간이 지났음에도 파기하지 않고 보유하고 있어 대규모 정보 유출로 이어진 것으로 확인됐다.

아울러 2024년 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 그해 9월에야 개인정보 유출 사실을 통지했다.

개인정보위는 모두투어네트워크에 과징금 7억4700만원과 과태료 1020만원을 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다. 내부 개인정보 보호 관리 체계 개선도 요구했다.

개인정보위는 "개인정보 탈취 위험을 사전에 탐지하고 차단 정책을 강화해야 한다"며 "정보주체의 2차 피해 예방을 위해 개인정보 유출 사실을 인지하게 되면 즉시 통지하도록 체계를 정비할 필요가 있다"고 당부했다.

[저작권자ⓒ 시민일보. 무단전재-재배포 금지]