- 개인정보위, 보안 취약점 방치 및 관리 감독 태만 보람상조 7개사에 약 5.5억 원 과징금 부과
- SQL 인젝션 공격에 속수무책... 유출 사실 뒤늦게 알리고 파기해야 할 정보까지 ‘꾸역꾸역’ 보관
상조업계의 대형 브랜드인 보람상조가 고객의 소중한 개인정보를 관리함에 있어 기본조차 지키지 않은 ‘보안 불감증’의 실체를 드러냈다. 개인정보보호위원회(이하 ‘개인정보위’)는 고객 정보를 유출하고 안전 조치를 소홀히 한 보람상조개발(주) 등 7개 계열사에 대해 총 5억 4,250만 원의 과징금과 1,140만 원의 과태료를 부과하는 엄중 처분을 의결했다.
보안의 기본 ‘SQL 인젝션’에 뚫린 구멍, 예고된 인재였다이번 유출 사고의 핵심 원인은 웹 애플리케이션의 고전적이고 치명적인 취약점인 ‘에스큐엘 인젝션(SQL Injection)’ 공격이었다. 보람상조개발은 그룹 내 6개 계열사로부터 고객 상담(CRM) 업무를 위탁받아 통합 데이터베이스(DB)를 운영해 왔으나, 정작 접근제어 등 기본적인 보안 조치에는 손을 놓고 있었다.
해커는 이 허술한 틈을 타 DB에 침입해 고객의 이름, 휴대전화 번호, 이메일 등 민감한 개인정보를 대량으로 탈취했다. 이는 단순한 사고가 아니라, 대규모 정보를 다루는 기업으로서 마땅히 갖춰야 할 보안 시스템을 방치한 ‘직무유기’에 가깝다는 비판을 피하기 어렵다.
"우리는 몰랐다?" 계열사들의 무책임한 방조와 관리 소홀더욱 심각한 것은 보람상조 그룹 차원의 조직적인 관리 부실이다. 보람상조리더스(주)를 포함한 6개 계열사는 자신들의 고객 정보를 수탁자인 보람상조개발에 넘기기만 했을 뿐, 정보가 안전하게 관리되고 있는지 교육하거나 감독해야 할 의무를 사실상 포기했다.
6개 계열사는 수탁자가 정보를 안전하게 관리하도록 감독해야 함에도 이를 충분히 이행하지 않아 위탁사의 직무태만 하였고, 개인정보 처리 위탁 사실을 제대로 공개하지 않는 등 법적 공시 의무조차 위반한 투명성 결여 사실이 드러났다.
유출 사실 숨기기 급급? 뒤늦은 통보와 개인정보 ‘욕심’보람상조의 사후 대처 또한 낙제점이었다. 보람상조개발은 유출 사실을 인지한 후 법정 기한 내에 정보 주체에게 알려야 했으나, 이를 지연 통지하여 피해를 키웠다. 뿐만 아니라, 이미 보유 기간이 지나 법적으로 즉시 파기해야 할 개인정보까지 무단으로 보관하고 있었던 사실이 확인되어 충격을 주고 있다.
"효율성보다 중요한 것은 고객 신뢰"개인정보위는 이번 처분을 통해 계열사 간 복잡한 위·수탁 구조가 ‘보안 사각지대’를 만드는 구실이 될 수 없음을 분명히 했다. 특히 대규모 개인정보를 처리하는 상조 분야의 특성상, 효율성만 따지다 투명성을 잃어서는 안 된다는 경고다.
보람상조는 이번 시정명령에 따라 그룹 전반의 개인정보 처리 현황과 의사결정 체계를 전면 정비해야 한다. 고객의 마지막 길을 책임진다는 기업이 고객의 개인정보는 길거리에 방치한 꼴이 된 지금, 무너진 신뢰를 어떻게 회복할지 업계의 이목이 쏠리고 있다.