해킹으로 임직원의 메일 주소가 유출돼 다크웹에 게시된 LG유플러스가 과태료 처분을 받았다.
개인정보보호위원회는 28일 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 8개 사업자에 과태료 부과 등을 의결했다고 밝혔다.
이번 조사는 해당 사업자들이 한국인터넷진흥원(KISA)에 개인정보 유출을 신고해 진행됐다. 조사 결과 2곳은 해킹으로, 6곳은 담당자 실수 등 내부요인으로 개인정보가 유출됐다.
LG유플러스는 임직원 등의 교육시스템 내 일부 페이지가 로그인 없이 접근 가능했고, 특수문자 차단 기능을 적용하지 않아 에스큐엘(SQL) 주입 공격으로 임직원 등의 메일정보가 다크웹에 게시됐다.
대동병원은 누리집 게시판 파일 업로드 취약점으로 인한 웹셸 공격으로 회원 메일 정보가 유출된 것으로 확인됐다.
로젠의 경우 택배 영업소장이 개인정보를 조회할 수 있는 계정을 제3자에게 불법 제공해 고객의 개인정보가 유출되었다.
컴투스 등 5개 사업자는 업무 담당자의 실수로 누리집에 개인정보를 잘못 게시하거나 개인정보 문서 방치, 개인정보처리 시스템 접근통제 소홀 등으로 문제가 발생했다.
개인정보위는 LG유플러스 600만 원, 대동병원 360만 원, 로젠 600만 원, 컴투스 300만 원 등 총 3120만 원의 과태료 처분을 했다.
한편, 개인정보위는 이날 개인정보처리시스템을 운영하면서 취약점 점검을 소홀히 하고 안전성 확보를 위한 적절한 개선조치를 하지 않은 디아스타코리아에 과징금 8297만 원, 과태료 360만 원 부과 및 시정명령을 하기로 의결했다.