6일 방송통신위원회(위원장 최성준)는 제68차 전체회의를 개최하고, 개인정보보호를 위한 기술적·관리적 보호조치 의무를 위반한 인터파크에 대해 44억 8,000만 원의 과징금 및 2,500만 원의 과태료 부과와 재발방지 대책을 수립·시행토록 하는 등의 시정명령을 내렸다.

그동안 방송통신위원회는 미래창조과학부와 공동으로 ‘민·관 합동조사단’을 구성해 지난 7월부터 해킹경로 파악과 인터파크의 개인정보 처리·운영 실태에 대한 현장조사를 진행해 왔다.

합동조사단이 경찰청으로부터 넘겨받은 해킹사고 관련자료(37종, 5테라바이트)와 인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 분석한 결과, 해커는 APT 공격방식의 해킹으로 이용자 개인정보 총 25,403,576건을 외부로 유출했다.

유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목으로 확인됐다.

이번 개인정보 유출사고의 주요 원인은 정보통신망법 제28조제1항에 따른 기술적·관리적 보호조치 중 접근통제를 소홀히 했기 때문인 것으로 분석됐다. 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 ‘최대 접속시간 제한 조치’ 등을 취해야 하지만, 개인정보처리자가 업무가 끝난 뒤에도 로그아웃을 하지 않고 퇴근해 개인정보처리자의 PC가 해킹에 이용된 것이다.

특히 방통위는 인터파크가 보관·관리하고 있는 개인정보량이 2,500여만 건으로 매우 방대하고 여러 사업자와 개인정보를 공유하고 있기 때문에 이에 걸맞은 엄격하고 세밀한 개인정보 관리가 요구됐지만, 기술적·관리적 보호조치를 소홀히 함으로써 이용자의 개인정보가 유출되는 빌미를 제공하는 등 중과실이 있다고 판단해 지금까지의 개인정보 유출사고 중 최대 금액의 과징금을 부과하는 등 엄정한 제재조치를 했다고 강조했다.

최성준 방송통신위원장은 “반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다”며, “이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다”고 말했다.

또한, “정부에서도 개인정보 유출로 인한 국민들의 불안과 피해를 최소화하기 위해 통신·쇼핑 등 생활밀접 분야 사업자들의 개인정보보호 법규준수 여부를 지속적으로 점검하고, 개인정보 불법유통이나 침해에 대해서는 연중 단속을 전개해 나가겠다”고 밝혔다.