개인정보보호위원회(위원장 고학수)가 지난 11일 개인정보 보호 법규를 위반한 머크㈜, ㈜디알플러스, ㈜온플랫 등 3개 사업자에 대해 총 1억 1,242만 원의 과징금과 1,440만 원의 과태료를 부과하고 시정명령 및 결과 공표를 의결했다.

◆ 머크㈜, 신규 서비스 보안 취약점으로 개인정보 유출

머크㈜는 제조·판매하는 의약품에 대한 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시하면서 시스템 오류로 최대 108명의 개인정보가 유출됐다. 

개인정보보호위원회 조사 결과, 머크㈜는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 하여 해당 서비스에 접속하는 이용자가 동일인으로 처리되는 오류가 발생했다. 

이로 인해 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있는 상황이 발생했다.

또한 머크㈜는 개인정보 유출을 인지했음에도 정당한 사유 없이 24시간을 경과한 후 유출 통지를 하여 관련 규정을 위반했다. 

이에 따라 개인정보보호위원회는 머크㈜에 과징금 8,000만 원과 과태료 600만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

◆ ㈜디알플러스·㈜온플랫, SQL 삽입 공격으로 개인정보 유출

㈜온플랫에 대한 조사 과정에서 동일한 해킹 공격(SQL 삽입 공격)으로 같은 대표자가 운영 중인 ㈜디알플러스에서도 개인정보 유출 사실이 확인되어 함께 조사가 진행됐다. 

조사 결과 ㈜온플랫과 ㈜디알플러스에서 각각 최소 80명, 98명의 결제내역 등 개인정보가 유출된 것으로 확인됐다.

◆ 보안 조치 미흡으로 개인정보 유출 발생

개인정보보호위원회 조사 결과, ㈜온플랫은 SQL 삽입 공격을 예방하기 위한 입력값 검증 절차를 구현하지 않았다. 

또한 ㈜온플랫과 ㈜디알플러스 모두 외부에서 개인정보처리시스템에 접속하는 경우 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았고, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관하지 않은 것으로 밝혀졌다.

특히 ㈜디알플러스는 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장했으며, 개인정보 유출 신고 및 통지를 지연한 사실도 확인됐다. 

이에 따라 개인정보보호위원회는 ㈜디알플러스에 과징금 3,242만 원과 과태료 840만 원을 부과하고 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다. 

㈜온플랫에는 시정명령과 더불어 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

◆ 신규 서비스 출시 전 철저한 보안 점검 필요 

개인정보보호위원회는 이번 조사·처분을 통해 개인정보를 처리하는 사업자들이 신규 서비스 출시 전 보안 취약점 점검을 철저히 해야 한다고 강조했다. 

또한 SQL 삽입 공격처럼 널리 알려진 웹 취약점 공격을 예방하기 위한 적절한 보안 조치 등 지속적인 주의가 필요하다고 당부했다.

이번 제재는 개인정보 보호를 위한 기본적인 보안 조치를 소홀히 한 사업자들에 대한 경고의 의미가 크다. 

특히 신규 서비스 출시 과정에서의 보안 취약점 점검과 널리 알려진 웹 취약점에 대한 지속적인 관리가 개인정보 보호의 핵심임을 보여주는 사례로 평가된다.

[메디컬월드뉴스]

관련기사

• 개인정보위, 글로벌 국경 간 프라이버시 규칙(Global CBPR) 인증 개시
• 개인정보위, 명품브랜드 디올·티파니 대상 개인정보 유출 조사 중
• 개인정보위, 안전조치 소홀로 개인정보를 유출한 2개 대학에 과징금 9억 6,600만 원 부과
• 개인정보위, 2025년 공공기관 개인정보 보호수준 평가계획 공개
• [5~6월 제약사 이모저모]제이엘케이, 한국머크, 한미약품, 티디에스팜, 싸이젠코리아 등 소식