개인정보 2만 7000건 유출한 보람상조…과징금 5억 5000만

보람상조 계열사 7곳에 과징금 5억 5000만
‘해커 공격’ 아이디·이름 등 2만 7882건 유출

상조회사 보람상조가 개인정보 유출 사고로 과징금을 부과받았다.

개인정보보호위원회는 13일 전체회의를 열고 개인정보보호법규 위반 혐의로 보람상조개발 등 보람상조 7개 사업자에 대해 과징금 5억 4250만원과 과태료 1140만원을 부과했다고 14일 밝혔다. 7개 사업자는 보람상조개발(주), 보람상조리더스(주), 보람상조라이프(주), 보람상조피플(주), 보람상조애니콜(주), 보람상조실로암(주), 보람상조플러스(주)다.


해커는 보람상조 홈페이지 취약점을 이용해 지난 2024년 5월 데이터베이스에서 아이디와 비밀번호, 이름, 이메일 등 개인정보 2만 7882건을 빼갔다. 조사 결과 보람상조개발은 다른 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스를 운영해 왔다.

그러나 데이터베이스에 대한 접근제어 등 안전성 확보 조치는 소홀히했다. 해커는 웹 애플리케이션상 보안 취약점을 이용해 악의적인 SQL 구문을 입력하는 ‘에스큐엘 인젝션(SQL Injection)’ 공격을 해 개인정보를 탈취했다.

개인정보위는 보람상조개발이 유출 사실 인지 후 법정 기한이 지나 뒤늦게 관계당국에 신고했으며, 보유 기간이 지난 개인정보를 파기하지 않은 사실도 고려해 과징금을 부과했다.



개인정보위 관계자는 “계열회사 등 다수 기업이 관련된 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 보안 사각지대가 발생할 수 있다”고 경고했다.

김중래 기자