[디지털데일리 최민지기자] 42만명의 주민등록번호를 포함해 총 49만명의 개인정보를 유출한 하나투어가 약 3억원의 과징금 제재를 받았다.
행정안전부(장관 김부겸)는 ‘제1차 과징금부과위원회’를 5일 열고 하나투어에 3억2725만원의 과징금, 대표자(CEO)와 임원대상 특별교육과 책임에 상응하는 징계권고, 주민번호·개인정보 미파기 관련 1800만원의 과태료 처분을 의결했다.
지난해 9월말 발생한 하나투어 해킹사건과 관련해 행정안전부는 같은 해 10월부터 방송통신위원회, 한국인터넷진흥원과 공동으로 합동조사단을 구성해 현장조사를 실시했다.
조사결과 하나투어는 고객 46만5198명과 임직원 2만9471명을 합한 49만4669명의 개인정보를 유출했고, 이 중에는 42만4757명의 주민등록번호가 포함돼 있었다.
이번 사고로 하나투어가 업무용 PC에 파일 형태로 보관하던 주민등록번호 및 그 밖의 개인정보와 별도의 개발 데이터베이스(DB)로 이관해 보관하고 있던 개인정보가 유출됐다.
또한 고객의 예약 및 여행이 완료된 후 5년이 지난 221만8257명의 개인정보와 2004년경부터 2007년까지 수집해 보관의무가 없는 41만8403명의 주민등록번호를 파기하지 않고 보관하다 적발됐다.
유출된 개인정보 파일에서 임직원의 경우, 사번부터 시작해 종교, 병역, 최종학력, 신원보증인명, 가족의 주민등록번호·근무처, 여권번호 등 민감한 정보들이 해커 손에 넘어갔다. 고객정보는 생년월일, 주소, 결혼기념일, 여권번호, 주민등록번호 등이 탈취됐다.
해커는 알 수 없는 방법으로 넷클라이언트 서버(GDW186)를 장악하고 다수 업무용 PC 및 서버에 악성프로그램을 배포 및 감염시켰다. 악성프로그램에 감염된 업무용 PC 등을 통해 내부정보를 수집하고 개인정보 유출을 위한 거점을 확보했다.
이어 해커는 수탁업체 직원의 인터넷망 PC에 암호화하지 않고 평문 저장된 자택 PC의 아이디와 패스워드를 취득했다. 수탁업체 직원의 자택 PC에서 하나투어 보안망에 원격 접속할 수 있는 프로그램의 아이디와 비밀번호를 얻어 추가인증 없이 보안망 PC에 접속할 수 있었다. 해커는 이후 DB서버 및 개인정보취급자 PC에 보관된 개인정보를 외부로 유출했다.
이에 행정안전부는 하나투어가 접근통제 및 암호화를 소홀히 해 해커가 쉽게 주민등록번호에 접근해 유출됐다고 봤다. 중대한 과실로 인정한 것이다.
우선, 하나투어는 안전한 접근통제를 위반했다. 외부에서 내부 보안망 PC에 접근 때 원격접속프로그램(Rview)의 아이디와 비밀번호를 확보해 추가 인증 없이 접근했고, DB접근제어 프로그램인 ‘Hi-TAM’을 통해 DB서버에 접속하는 경우에도 아이디·비밀번호만으로 접속 가능해 안전한 인증수단을 마련하지 않았다. DB서버에 접속하는 경우에 필요한 일정시간만 접속이 유지되도록 하는 ‘최대 접속시간 제한조치(Time Session-Out)’도 준수하지 않았다.
암호화 저장 및 전송조치도 문제로 지적됐다. 위탁받은 유지보수 직원의 업무망 PC 내부시스템의 아이디와 비밀번호를 평문 저장했기 때문에 해커가 활용할 수 있도록 길을 열어준 것이다. 이번 조사에 따르면 주민번호가 있는 PC에 엑셀 및 텍스트 파일의 일부를 암호화 또는 비밀번호를 설정하지 않은 상태로 보관하다 유출됐다.
또, 행정안전부는 개인정보 DB를 암호화했으나 암호화키를 동시에 보관하다가 주민번호를 유출한 점 등 안전성 확보를 위한 과실의 정도가 중대해 ‘매우 중대한 위반행위’에 해당하는 과징금을 부과하게 됐다고 설명했다.
앞서, 하나투어는 지난해 1월 여행예약 고객의 명단이 유출된 사고에서 통지의무를 위반해 과태료 처분을 받은 바 있다.
행정안전부는 지난 2014년 3월 과징금 제도가 도입된 이래 민간협회와 자율규약을 맺고 사전예방차원의 계도활동과 협회 차원의 자율점검을 수행했으나, 이번 사고로 하나투어에 과징금을 부과하면서 자율점검 감독체계도 함께 강화할 방침이다.
심보균 행정안전부 차관은 “개인정보보호법 제정 이래 처음으로 부과되는 하나투어 과징금 처분을 통해 기업의 개인정보보호에 대한 사회적 인식을 제고하는 계기가 되기를 바라며, 특히 개인정보와 보안에 대한 CEO의 관심과 보안에 대한 투자가 절실한 시점”이라며 “정부는 앞으로도 개인정보 유출사고에 대한 국민의 불안감을 해소하고 기관의 보안의식 제고를 위해 지속적으로 개인정보 계도활동과 실태점검을 강화해 나가겠다”고 말했다.