[시큐리티팩트=김상규 기자] 개인정보보호위원회는 개인정보보호 법규를 위반한 참좋은여행, 루안코리아, 디에이치인터내셔널에 3억3907만원의 과징금과 1800만원의 과태료를 부과했다고 14일 밝혔다.
이들 3개 업체는 모두 침입탐지시스템을 운영하지 않거나 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속 시 2차 인증 등 안전한 인증수단을 적용하지 않았다. 아이디와 비밀번호로만 접속 가능하게 운영하다가 해킹으로 개인정보까지 유출했다.
참좋은여행은 해커가 탈취한 내부 직원의 계정정보로 사내 시스템인 여행 주문관리시스템에 접속해 이용자의 개인정보가 유출됐다. 스팸메일이 발송되는 등 피해도 발생시켰다.
외부에서 개인정보처리시스템에 접속 시 안전한 인증수단을 적용하지 않는 등 안전조치 의무를 제대로 지키지 않았다. 과징금 1억7438만원과 과태료 360만원 처분을 받았다.
루안코리아는 안전조치 의무를 소홀히 해 해킹으로 이용자 개인정보가 탈취되도록 했다. 과징금 1억5천219만원과 과태료 720만원이 부과됐다.
디에이치인터내셔널의 경우 웹셸(업로드 취약점을 통하여 해커가 원격에서 웹서버를 조종할 수 있도록 작성한 웹 스크립트) 공격을 통해 해커가 개인정보를 유출하는 사건이 발생했다. 조사 결과 안전조치 의무를 제대로 지키지 않았다. 과징금 1250만원과 과태료 720만원 처분을 받았다.