스타일쉐어·야놀자 등 고객 개인정보 유출…과징금 처분

유출 규모 회사마다 달라…최대 600만여 건
개인정보위 “회사들, 개인정보 통제권 상실”

윤정태 개인정보보호위원회 조사2과장이 29일 브리핑에서 야놀자 등 4개사에 대한 제재 의결 내용을 설명하고 있다. 개인정보위 제공

숙박예약 플랫폼인 ‘야놀자’와 쇼핑 애플리케이션 ‘스타일쉐어’ 등에서 가입자들의 연락처, 계정 비밀번호 등이 해킹으로 유출된 것으로 확인됐다. 개인정보보호위원회(개인정보위)는 이들 회사에 과징금·과태료 처분을 내렸다.

개인정보위는 29일 전체회의에서 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 상 개인정보 보호조처를 위반한 야놀자에 과징금 5690만원·과태료 3000만원을, 스타일쉐어에 과징금 9470만원·과태료 1600만원을 부과하기로 의결했다. 인테리어 쇼핑몰인 ‘집꾸미기’와 여행정보 플랫폼 ‘스퀘어랩’에도 각각 과징금 2830만원·과태료 2200만원, 과징금 540만원·과태료 1500만원을 내렸다. 개인정보위는 시정명령, 공포 등의 제재도 함께 의결했다.

개인정보 유출 규모는 회사마다 최대 600만여건에 이른다. △스타일쉐어 640만여건 △집꾸미기에서 250만여건 △스퀘어랩 약 42만건 △야놀자 5만2000여건 등이다.

이들 업체는 아마존 클라우드 서비스에 고객 개인정보를 저장·관리해왔는데, 클라우드에 접근할 수 있는 관리자 아이피(IP·인터넷 프로토콜)를 따로 지정하지 않아 해킹에 노출됐다. 개인정보 취급권자의 피시(PC)만이 아닌 회사 안팎 모든 기기에서 클라우드에 접속할 수 있는 터라, 누구나 접근권한만 부여받으면 고객 정보에 접근할 수 있었다는 얘기다. 개인정보위 관계자는 “해커가 이메일 피싱 등을 통해 접근권한을 얻은 뒤 개인정보가 저장된 클라우드에 접속했다. 회사들이 개인정보에 대한 통제권을 상실한 것으로 보고 제재 처분을 결정했다”고 설명했다.

개인정보위는 사업자들이 클라우드 서비스에 대한 관리자 접근권한을 설정하는 등 기초적인 조처만으로도 개인정보 유출 사고를 줄일 수 있다고 강조했다. 송상훈 개인정보위 조사조정국장은 “클라우드를 통한 개인정보 유출 방지를 위해, 클라우드 서비스를 제공하는 사업자와 이용 사업자가 준수해야 할 사항들을 마련하겠다”고 밝혔다. 천호성 기자 rieux@hani.co.kr