개인정보보호위원회는 13일 전체회의를 열고 개인정보보호법을 위반한 보람상조개발 등 보람상조 7개 사업자에 대해 과징금 총 5억4250만원 및 과태료 1140만원을 부과하고, 시정 및 공표 명령을 의결했다. 제재를 받은 7개 사업자는 보람상조개발을 포함해 보람상조리더스, 보람상조라이프, 보람상조피플, 보람상조애니콜, 보람상조실로암, 보람상조플러스 등이다.
개인정보위 조사 결과에 따르면 보람상조개발은 고객 2만7782명의 이름과 휴대전화번호, 이메일 등의 고객 개인정보를 해커에게 탈취당했다. 유출 사실을 인지한 후에도 정보주체에게 지체없이 통지해야 하지만 법정 기한을 넘겨 통지했다. 보유 기간이 경과한 개인정보도 파기하지 않고 보관하고 있었다.
개인정보 관리도 허술했다. 보람상조개발은 보람상조리더스 등 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행했다. 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스(DB)를 운영해왔다. 그러나 해당 시스템과 관련해 접근제어 등 안정성 확보 조치를 소홀히 한 것으로 드러났다.
더불어 위탁사인 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있음에도 이를 충분히 이행하지 않은 사실도 확인됐다.
이에 따라 개인정보위는 보람상조개발에 안전조치의무 위반 등으로 과징금 5억3100만원과 유출통지 지연 및 개인정보 미파기에 따른 과태료 1140만원을 부과했다. 계열사에는 수탁자에 대한 관리·감독 책임을 물어 총 1150만원의 과징금을 부과하고 처분 내용을 사업자의 홈페이지에 공표하도록 명령했다.
이와 함께 그룹 차원의 개인정보 보호 수준 강화도 명령됐다. 전반적인 개인정보 처리 현황 점검·정비와 의사결정 체계 정비, 위수탁 관계 투명성 확보 등을 시정하라는 것이다.
개인정보위는 “계열회사 등 다수 기업이 관련된 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 발생할 수 있는 보안 사각지대를 경고했다는 데 의의가 있다”며 “위탁자는 수탁자의 개인정보 처리 현황 및 보호 조치 등을 실질적으로 관리·감독할 책임이 있다는 점을 명확히 했다”고 설명했다.
개인정보위는 현재 상조 분야 전반에 대해 개인정보 처리실태 점검 및 관행 개선을 위한 사전실태 점검을 진행하고 있다.
