개인정보보호위원회가 국내 이용자 2만2천명의 개인정보를 무더기로 유출시킨 국외 간편결제 플랫폼 페이팔에 9억여원의 과징금과 과태료를 부과하기로 했다. 페이팔은 개인정보 유출 방지 등을 위한 보호조치를 했다고 주장했지만, 개인정보보호위는 글로벌 기업 페이팔이 사회 통념상 합리적으로 기대 가능한 수준의 보호조치를 했다고 보기 어렵다고 판단했다.
개인정보보호위는 지난 25일 전체회의를 열고, 싱가포르 소재 온라인 간편결제 서비스 페이팔에 대해 9억600만원의 과징금과 1620만원의 과태료를 부과하기로 의결했다고 26일 밝혔다.
개인정보보호위는 2021년 페이팔이 송금 기능 해킹 및 내부직원 전자우편 사기(이메일 피싱)를 당해 한국 이용자 개인정보가 대량 유출됐다는 신고를 받아 조사에 착수했다. 지난 1월에는 사전 확보한 다수의 아이디(ID)와 비밀번호를 무작위로 입력해 로그인을 시도하는 ‘크리덴셜 스터핑 공격’으로 개인정보가 유출됐다는 신고가 추가로 접수됐다.
개인정보보호위는 조사 결과, 페이팔이 개인정보 보호 안전 조치 의무를 소홀히 하고, 개인정보 유출 통지‧신고를 지연한 사실이 확인됐다고 밝혔다. 송금 기능 해킹으로 2만2067명의 이름, 국가 코드, 프로필 사진이 유출됐고, 크리덴셜 스터핑 공격으로 336명의 이름, 생년월일, 주소, 이동전화 번호가 유출된 것으로 드러났다. 페이팔은 특정 아이피(IP)에서 반복적으로 접근해 개인정보가 유출됐음에도, 이를 탐지‧차단하지 못하는 등 개인정보 처리시스템에 대한 침입 탐지 및 차단 시스템 운영을 소홀히 한 것으로 나타났다.
한편, 개인정보보호위는 내부직원의 전자우편 사기(이메일 피싱)로 가맹점주 등 1186명의 이름·업무용 전자우편‧전화번호‧주소가 유출된 것은 안전조치 의무 소홀보다 특정 직원의 대처가 소홀했기 때문으로 파악했다. 또한 페이팔은 모두 3건의 개인정보 유출 사고와 관련해 통지 및 신고를 지연한 것으로 드러났다.
페이팔 쪽은 다수의 정보보호 관련 인증 취득, 국제 보안표준 마련 기여 등 자사가 개인정보보호를 위한 노력을 펼쳤다고 주장했지만, 개인정보보위는 받아들이지 않았다. 개인정보보호위는 “(페이팔이) 전 세계에서 서비스를 제공하는 글로벌 기업으로 사회 통념상 합리적으로 기대 가능한 정도의 보호조치를 충분히 했다고 하기 어렵다고 판단했다”며 “글로벌 사업자가 국외에서 한국 이용자의 개인정보를 처리하는 경우라도 우리 개인정보보호법에서 요구하는 충분한 조치를 다 할 필요가 있다는 것을 다시 한 번 환기시키는 계기가 될 것으로 보인다”고 밝혔다.
개인정보보호위는 이날 와이엘랜드(알뜰폰 이동통신 서비스), 오브콜스(청첩장 제작판매), 자동차공임나라(자동차 정비 프랜차이즈업) 등 개인정보 보호 안전조치를 소홀히 한 3개 사업자에 대해서도 총 1억9719만원의 과징금과 2730만원의 과태료를 부과하기로 의결했다.
박지영 기자
jyp@hani.co.kr