개인정보위, 모두투어 개인정보 유출 사고에 7억 5,720만 원 과징금·과태료 부과

^{이노바저널 AI 생성 삽화}

개인정보보호위원회는 3월 12일 전체회의에서 ㈜모두투어네트워크의 개인정보 유출 사고에 대해 총 7억 5,720만 원의 과징금 및 과태료를 부과하고, 공표명령 및 개선 권고를 의결했다고 밝혔다.

유출 사고 개요

지난해 6월, 신원 미상의 해커가 ㈜모두투어네트워크의 웹페이지 파일 업로드 취약점을 이용해 악성코드(웹셸)를 삽입했다. 이 공격을 통해 회원·비회원 306만여 명의 개인정보(이름, 생년월일, 성별, 휴대전화번호 등)가 유출되었다.

조사 결과, 해커가 업로드한 파일에 대한 확장자 검증 및 실행 권한 제한이 미흡했고, 접근통제 조치도 부족했던 것으로 밝혀졌다.

또한, 모두투어는 2013년부터 수집한 비회원 개인정보 316만여 건을 보유기간이 지나도록 삭제하지 않았으며, 유출 사실을 인지한 후에도 72시간 내 통지 의무를 지키지 않고 2개월이 지난 후에야 고객에게 통보한 것으로 확인됐다.

개인정보위는 “이번 사고에서 사용된 웹셸 공격은 알려진 해킹 기법이지만, 데이터베이스에 직접 접근할 수 있어 피해가 크다”며, 기업들이 사전 보안 점검을 철저히 하고, 불필요한 개인정보는 즉시 파기해야 한다고 강조했다.

또한, 개인정보 유출 시 정보주체의 2차 피해를 예방하기 위해 신속한 통지가 이루어져야 한다며, 기업들의 개인정보 보호 체계 정비를 촉구했다. [출처: 개인정보보호위원회 보도자료]