개인정보위, 2만2000여명 개인정보 유출한 '페이팔'에 과징금 9억원

전날 제17회 전체회의서 의결

고학수 개인정보위 위원장이 지난 25일 오후 서울 종로구 정부서울청사에서 제17회 전체회의 개회를 알리며 의사봉을 두드리고 있다. [사진=개인정보위]

개인정보보호위원회가 2만2000여명의 개인정보를 유출한 싱가포르 소재 온라인 간편결제 서비스 제공자 '페이팔'에 과징금 9억600만원과 과태료 1620만원 부과 결정을 내렸다.

26일 개인정보위는 전날 열린 제17회 전체회의에서 이 같은 사항을 의결했다고 밝혔다.

개인정보위는 지난 2021년 12월 페이팔이 송금 기능 해킹과 내부 직원의 이메일 피싱 등으로 인해 한국 이용자의 개인정보가 유출됐다고 신고를 받은 뒤 조사를 시작했다. 올해 1월 크리덴셜 스터핑 공격으로 개인정보가 유출됐다는 추가 신고로 총 세 건의 유출 사고를 함께 조사했다.

조사 결과, 페이팔이 개인정보 안전조치 의무를 소홀히 하고 유출 통지‧신고를 지연한 것으로 나타났다. 개인정보위에 따르면 송금 기능 해킹으로 2만2067명의 이름·국가코드·프로필 사진이 유출됐다. 크리덴셜 스터핑 공격으로 336명의 이름·생년월일·주소·핸드폰 번호가 유출됐다.

페이팔은 특정 인터넷 주소(IP)에서 반복적으로 접근한 공격자를 사전에 탐지·차단하지 못했다. 게다가 소속 직원이 감행한 이메일 피싱 공격으로 가맹점주 등 1186명의 이름과 업무용 전자우편‧전화번호‧주소가 외부로 빠져나갔다. 특정 직원의 대처가 소홀한 것이 원인이었다.

이와 함께 개인정보위는 페이팔이 이러한 개인정보 유출 사고 세 건과 관련 통지·신고를 지연한 사실도 확인했다. 페이팔 측은 개인정보 유출 방지를 위한 자사 보호 조치를 설명했다. 다수 정보보호 관련 인증을 취득하고 정보보호 관련 국제 보안 표준 마련에 기여했다고 강조했다.

그러나 개인정보위는 전 세계에 서비스를 제공하는 기업으로 안전 조치를 강화할 필요가 있다고 밝혔다. 송금 기능 해킹과 크리덴셜 스터핑 공격 관련 조치 사항 등을 종합적으로 고려했을 때 사회 통념상 합리적으로 기대 가능한 정도의 보호조치를 충분히 했다고 보기 어렵다고 판단했다.

개인정보위 관계자는 "이번 조치는 국외에 있는 글로벌 사업자에 우리 보호법상 안전조치 의무를 적용해 위반 행위를 처분한 건"이라며 "해외 사업자가 국외에서 한국 이용자의 개인정보를 처리하는 경우라도 우리 보호법에 맞는 충분한 조치를 다 할 필요가 있다는 것을 환기하는 계기가 될 것"이라고 강조했다.

아울러 개인정보위는 개인정보 보호법을 위반한 국내 사업자 자동차공임나라·오브콜스·와이엘랜드 등 3곳에도 과징금·과태료 부과 결정을 내렸다고 이날 발표했다.

알뜰폰(MVNO) 관련 웹사이트를 운영하는 와이엘랜드는 인터넷 망에서 관리자 페이지에 접속하는 과정에서 2차 인증과 IP 제한 등의 조치 없이 아이디·비밀번호만으로 접근이 가능하도록 운영했다.

이 상황에서 해킹 공격을 받아 이용자 22만9600명의 개인정보가 탈취됐다. 개인정보 유출 통지를 지연한 사실과 보유 목적이 종료된 이용자의 개인정보를 파기하지 않은 것도 확인됐다. 이에 개인정보위는 와이엘랜드에 과징금 1억5098만원, 과태료 1020만원 부과와 시정 명령을 내렸다.

자동차공임나라와 오브콜스는 웹셸(악성코드) 공격을 예방하기 위한 최신 보안 프로그램을 미적용했다. 데이터베이스(DB)에 대한 접근 권한 미통제, 이용자의 비밀번호 일방향 암호화하는 등 안전조치 의무를 소홀히했다. 이로 인해 각각 이용자 72만8680명, 24만1241명의 개인정보가 빠져나갔다.

개인정보위는 자동차공임나라에 과징금 1250만원과 과태료 1080만원을, 오브콜스에 과징금 3371만원과 과태료 630만원 부과 결정을 전날 의결했다.