본문 바로가기

정책/정보센터이용자정책

위원회 회의
  • 정책/정보센터
  • 정책과제
  • 이용자정책
본문 시작

이용자정책

더 좋은 서비스 문화를 만들어가기 위한 공간입니다.방송과 통신에 대한 사용자의 권익증진과 인터넷 등 네트워크 환경에서 올바른 여론형성을 위해 기반을 마련하는 정책입니다.

방통위, ㈜위드이노베이션 개인정보 유출사고 엄정 제재
제목 방통위, ㈜위드이노베이션 개인정보 유출사고 엄정 제재 담당부서 개인정보침해조사과
작성자 유인설 연락처 02-2110-1518
첨부파일 등록일 2017-09-08
방송통신위원회(위원장 이효성, 이하 ‘방통위‘)는 9월 8일(금) 전체회의를 개최하여 숙박앱 ‘여기어때’를 운영하면서 이용자의 개인정보를 유출한 ㈜위드이노베이션에 대해 △과징금 3억 100만원, △과태료 2,500만원, △책임자 징계권고, △위반행위의 중지 및 재발방지대책 수립 시정명령, △시정명령 처분사실 공표 등 엄정한 행정처분을 의결했다.

방통위는 사업자의 유출신고를 받고 지난 3월 23일부터 과학기술정보통신부·경찰청·한국인터넷진흥원(KISA)등과 함께 현장조사를 실시하여, 관련자료 분석 및 재연을 통해 ‘여기어때 마케팅센터 웹페이지’의 취약점을 이용한 ‘SQL인젝션‘ 공격을 통해 해커가 개인정보를 탈취한 사실을 확인 한 바 있다.
※ 해킹관련 세부 내용은 ’17.4.26(수)배포된 ‘위드이노베이션 개인정보 유출 침해사고 조사결과’ 보도자료를 참고하시기 바랍니다.

해커에게 유출된 개인정보는 ‘여기어때’ 서비스 이용자의 숙박예약정보 3,239,210건과 회원정보 178,625건(이용자 기준 중복제거 시 총 971,877명)으로 파악되었으며, 이 중 유출된 숙박이용내역을 악용하여 음란문자 4,817건이 발송된 것으로 나타났다.
[참고] ㈜위드이노베이션의 유출 정보 현황

구 분
유 출 항 목
건수
중복제거
이용자
정보
숙박
예약
정보
숙박수(구분), 제휴점명, 객실명, 예약일시, 예약자, 회원번호, 휴대전화번호, 결제방법, 결제금액, 원금액, 입금가, 예약현황, 입·퇴실(가능)시간 등
3,239,210건
910,705명*
회원
정보
회원번호, 회원ID(이메일주소), 이름(또는 닉네임), 가입일자, 가입수단, 회원등급, 가입환경(OS정보) 등
178,625건
78,716명**
소 계
-
3,417,835건
971,877명***
사업자(제휴점)
정보****
업체번호, 업체명, 은행명, 계좌번호, 예금주, 연락처(휴대전화번호), 생년월일(사업자번호), 영업담당자, 회원등록상태, 등록일
1,163건
1,163명
합 계
-
3,418,998건
973,040명

* 숙박예약정보 3,239,210건을 휴대전화번호 기준으로 중복 제거
** 회원정보 중 이메일주소가 저장되어 있어 특정 개인을 식별할 수 있는 회원 수
*** 숙박예약정보와 회원정보 중 회원번호 등을 기준으로 동일인으로 파악된 17,544명 제외
**** [개인정보 비식별 조치 가이드라인]에서 사업체(개인사업자 포함)의 운영과 관련된 정보는 원칙적으로 개인정보에 해당하지 않는다고 해석

이번 조사과정에서 ㈜위드이노베이션은「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’) 에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반하고 있는 것으로 나타났다. (세부 위반내역 첨부 참조)

특히, 정보통신서비스제공자는 개인정보의 안전한 보관을 위해 서비스 관리 웹페이지 등 개인정보처리시스템에 대해 필요한 최소한의 인력에게만 접근권한을 부여하고, 외부에서 쉽게 접속하지 못하도록 인가되지 않은 접근을 차단하는 한편, 이상접속을 탐지·차단하는 등 정보통신망법에서 정한 접근통제 조치를 취하여야 한다.

하지만, ㈜위드이노베이션의 경우 △개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않은 점, △적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하지 않은 점, △해킹을 당한 마케팅센터 웹페이지(newad.goodchoice.kr)에 대해서 웹페이지 취약점 점검을 수행하지 않은 점, △고객상담사 등에게 파일 다운로드 권한이 있는 관리자페이지 접근권한을 부여하는 등 접근권한을 과하게 부여한 점, △인사이동 시 취급자의 접근권한을 지체 없이 변경하지 않아, 해커가 이를 악용하여 개인정보 파일을 다운로드 한 점 등 정보통신망법 제28조제1항에 따른 접근통제 조치 전반을 소홀히 한 점이 확인되었다.

방통위는 위와 같은 보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용된 점, 피해규모가 크고 유출된 개인정보를 활용한 문자발송 등 이용자 추가 피해가 확인된 점 등을 종합적으로 고려하여 ㈜위드이노베이션의 위반행위를 ‘매우 중대한 위반행위’로 보고 ‘과징금’을 산정·부과하였다.

아울러, 정보통신망법 개정(‘16.3.22)에 따라 도입된 ’책임자 징계권고‘를 개인정보 유출사고 최초로 적용하기로 하고, ㈜위드이노베이션 대표자 및 책임 있는 임원에 대하여 징계를 권고하고 그 결과를 방통위에 통보할 것을 의결하여, 개인정보 유출에 대한 정보통신서비스 제공자의 책임을 강조하였다.

이효성 방통위원장은 “O2O서비스의 경우 사생활과 관련된 민감정보를 수집·이용하는 경우가 많으므로, 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안투자나 개인정보 보호를 위한 노력을 병행하길 바란다”면서 “방통위도 취약분야에 대한 사전점검 및 위반업체에 대한 보다 엄정한 제재를 통해 이용자 피해를 줄여 나가도록 노력하겠다”고 밝혔다.

붙임 : ㈜위드이노베이션의 위반사항(요약). 끝.
〈붙임〉(주)위드이노베이션의 위반사항(요약)

위 반 내 용
관련 규정
시정조치
?개인정보 보호조치 (접근통제)
법 §28①제2호
시정명령

과징금
3억
100만원

과태료
1,500만원
- 개인정보처리시스템 접근권한 최소부여 원칙 위반

※ 고객센터 상담직원 35명에게 개인정보처리시스템 파일다운로드 권한 부여
(상담사 유○○ 권한을 해커가 도용)
시행령§15②제1호
고시 §4①
- 취급자 인사이동 시 지체없이 개인정보처리시스템 접근권한 변경하여야 하나 이를 위반

※ ’17.3.3. 조직개편에 다른 인사이동(195명 전보) 후 3.20.까지 관리자페이지의 접근권한 미변경, 사고 인지(3.21.) 후인 3.24. 일괄 변경
(이중 직원 김○○의 최고관리자 권한을 해커가 도용)
시행령§15②제1호
고시 §4②
- 취급자가 외부에서 정보통신망을 통해 개인정보처리시스템 접속 시 안전한 인증수단 미적용
시행령§15②제1호
고시 §4④
- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀

※ OS에서 제공하는 기본방화벽(iptable) 및 오픈소스(Snort)를 이용한 침입탐지 외 전문기업이 제공하는 시스템 미설치

※ 외부에서 파일 다운로드 시도 등 시스템에 접속한 IP 주소 재분석 미실시
시행령§15②제2호
고시 §4⑤
- 개인정보 다운로드·파기 가능한 취급자의 컴퓨터 망분리 미적용

※ 매출액 100억원 이상, 저장·관리하는 이용자수 100만명 이상에 해당
시행령§15②제3호
고시 §4⑥
- 웹페이지 취약점

※ SQL 인젝션 공격 등을 방지할 수 있는 시큐어 코딩 미수행
※ 마케팅센터 웹페이지 취약점 점검 미수행 (해당 웹페이지 해커 공격)
시행령§15②제5호
고시 §4⑨
?개인정보 보호조치 (접속기록)
법 §28①제3호
- 개인정보취급자의 접속기록 보관(6개월), 정기정검(월 1회 이상) 의무 위반
시행령§15③
고시 §5①④
?개인정보 보호조치 (암호화)
법 §28①제4호
- 관리자페이지 접근권한 변경이력의 관리자 비밀번호 평문 저장
시행령§15④제1호
고시 §6①
- 직원 개인용PC에 이용자개인정보(20,462건) 미암호화 저장
시행령§15④제4호
고시 §6
?개인정보의 파기 (유효기간제)
법 §29②
시정명령

과태료
1,000만원
- 1년간 서비스를 미이용한 이용자의 개인정보(1,101,528건)를 파기하거나 다른 이용자의 정보와 분리하여 별도 저장·관리하지 않음
시행령§16②

목록

이전글, 다음글
이전글 방통위, 몰카 등 인권침해 영상물 발 못 붙이게 한다 2017-09-07
다음글 방통위,「아름다운 인터넷 세상 2022」계획 수립 2017-09-08
  • 만족도평가
  • 지금 보고 계시는 화면의 정보와 사용 편의성에 만족하십니까?

항목관리자 이용자정책총괄과  02-2110-1512 , 확인날짜 : 2022-02-28
13809 경기도 과천시 관문로 47, 2동

민원안내 : 02-500-9000(평일 09:00~18:00), 팩스 : 02-2110-0153

Copyright © Korea Communications Commission. All Rights reserved.