고객정보 관리 총체적 부실…‘파기시한 지나도 정보 보유·유출사고 신고도 늦어’
[현대경제신문 장은진 기자] 하나투어가 개인정보 유출사건으로 방송통신위원회(이하 방통위)로부터 과징금 처분을 받게 될 수도 있는 상황에 놓였다.
19일 익명을 요구한 보안업계 한 전문가는 “하나투어의 이번 개인정보 유출사건은 대규모로 유출된 만큼 방통위가 과징금 처분을 내릴 가능성도 있다”고 밝혔다.
방통위는 정보통신망법 이용 촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 64조 3항에 따라 이용자의 개인정보를 분실‧도난‧유출‧위조‧변조 또는 훼손한 경우 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
앞서 방통위는 고객 개인정보 99만여건이 유출된 모바일 숙박앱 ‘여기어때’의 운영사에 과징금 3억원을 부과한 바 있다.
지난 4월 개인정보 유출 사건이 발생한 ‘여기어때’는 지난달 8일 방통위로부터 과징금 3억100만원, 과태료 2천500만원, 책임자 징계권고 등 행정처분을 받았다.
이 전문가는 “하나투어는 정황상 망 분리와 암호화를 하지 않은 것으로 추정된다”고 말했다.
정보통신망법 37조는 100만명 이상의 개인정보를 저장·관리하고 있거나 정보통신부문 매출이 100억원 이상인 사업장은 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터의 업무망과 인터넷망을 분리하도록 규정하고 있다. 또 입력된 개인정보를 암호화해 저장해야 한다.
또 이번 하나투어의 개인정보 유출 신고가 인지 시점보다 10일 이상 늦은 점도 문제가 될 소지가 있다고 전문가는 지적했다.
그는 “정보통신망법에 의하면 정당한 사유 없이 정부 당국에 신고가 늦어질 경우 행정처분 대상이 될 수 있다”고 설명했다.
하나투어는 지난 18일 공식 홈페이지를 통해 “당사 유지 보수 업체 직원의 PC가 악성코드에 감염됐음을 인지하고 조사하던 중 9월 28일 PC를 통해 개인정보 파일의 일부가 유출된 정황을 확인했다”고 밝혔다.
정보통신망법 27조 3항은 정당한 사유 없이 개인정보 유출 사실을 알게 된 때부터 24시간 이내에 관계당국에 이 사실을 통지·신고하도록 하고 있다.
고객들의 개인정보를 주기적으로 파기하지 않은 점도 문제가 될 것으로 예상된다.
하나투어는 이번 유출된 개인정보가 2004년 10월부터 2007년 8월 사이 생성된 파일이라고 밝혔으나 개인정보보호법 30조와 정보통신망법 27조2에 따르면 수집 목적이 완료한 개인정보는 즉시 파기가 이뤄져야 했다. 또 탈퇴 회원이나 1년 장기 미접속자 정보의 경우 분리 보관해야 한다고 규정하고 있다.
하나투어 관계자는 “아직 조사가 진행 중인 상황에서 방통위의 과징금 처분에 대해 논하기엔 이르다고 본다”고 말했다.