과태료 720만원·공표명령과 함께…개인정보위 “대책 수립하라”
(머니파워=머니파워) SPC그룹 계열사인 ㈜섹타나인이 개인정보 보호법(이하 보호법)을 위반해 과징금 14억 7700만 원과 과태료 720만 원을 부과받게 됐다.
개인정보보호위원회는 지난 12일 제 3회 전체회의를 열어 이같은 과징금과 과태료를 포함해 사업자 홈페이지에 처분받은 사실을 공표하도록 명령하기로 의결했다고 13일 밝혔다.
섹타나인은 파리그라상이 100% 지분을 가지고 있는 기업이다. 파리크라상은 SPC그룹의 최상위 기업으로 2023년 12월 기준 허영인 회장이 63.31%, 장남 허진수 20.33%, 차남 허희수 12.82%, 부인 이미향 3.54%로 특수관계자가 100% 지분을 가지고 있다. 즉 섹타나인은 허 회장 가족의 개인회사로 파리바게트, 베스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영하고 있다.
섹타나인은 사실상 허 회장의 차남 허희수가 부사장의 직함으로 이끌고 있다. 섹타나인은 2023년 영업이익이 25억 9200만 원 손실을 기록하며 수익성 부진을 기록한 이후 보호법까지 위반해 행정제재까지 당하게 생긴 것이다.
개인정보위는 개인정보 유출 신고에 따라 조사를 실시했고, ㈜섹타나인이 보호법에 따른 안전조치의무를 소홀히 하고 유출 통지·신고를 지연한 사실을 확인했다고 밝혔다.
개인정보위가 공개한 구체적인 위반 내용을 보면, 신원 미상의 해커는 2022년 10월 5일~10월 11일 동안 ㈜섹타나인이 운영중인 해피포인트 앱에 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 시도해 로그인에 성공했다. 이후, 서버에서 로그인 성공 시 응답값을 이용자에게 회신하는 응용프로그램 인터페이스(API, Application Programming Interface)를 통해 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7585명의 개인정보를 탈취했고, 이중 일부 이용자의 해피포인트가 무단 사용되는 2차 피해가 발생했다. 2023년 10월 30일~11월 3일 동안 동일한 방식의 해킹 공격이 또다시 발생해 9762명의 개인정보가 추가로 유출됐다.
㈜섹타나인은 고객정보 보호를 위한 충분한 조치를 하지 않았다. 짧은 시간 동안 동일 IP 주소에서 대규모 로그인 시도가 발생하는 경우 이를 탐지·차단할 수 있는 대책을 마련하지 않았고, 응용프로그램 인터페이스(API) 응답값에 포함된 개인정보를 보호하기 위한 암호화 조치를 소홀히 했다. 또한, 최초 유출 사고(’22.10월) 이후에도 재발방지 대책을 충분히 마련하지 않아 동일한 방식으로 유출 사고(’23.11월)가 또다시 발생한 것이다.
아울러, 2022년 발생한 사고는 유출 통지·신고가 제때 이뤄졌으나 2023년 발생한 사고의 경우 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 경과해 유출 통지·신고한 사실도 확인됐다.
이에 개인정보위는 “개인정보를 처리하는 사업자의 경우 운영중인 시스템에 대한 안전조치를 철저히 하고, 사고가 이미 발생한 경우에는 재발방지 대책을 면밀히 수립해 유출사고가 재발하지 않도록 각별한 노력해 달라”고 당부했다.
관련기사
키워드
##고객정보 #개인정보 #개인정보유출 #섹타나인 #과징금 #파리크라상 #허희수 #머니파워머니파워
‘머니파워’는 인터넷 언론사. 경제 정치 뉴스, 문화 건강 생활 뉴스, 오피니언 등 수록. 엠피뉴스, mpnews
www.moneynpower.com