이슈

2024년 상반기 민간기업 개인정보 유출 사고 얼마나 발생했을까?…TOP3

안녕하세요. 캐치시큐입니다.
지난번에는 2024년 상반기 공공기관의 개인정보 유출 사고에 대해 알아보았는데요.
이번에는 민간기업의 개인정보 유출 사고에 대해 알아보겠습니다.

최근 개인정보 규제가 강화되면서 개인정보가 유출된 기업의 과징금도 높아졌는데요.
이전에는 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%‘로 규정했지만, 개정되면서 ‘전체 매출액의 3%‘로 조정되었기 때문입니다.
이번 글에서 알아볼 사건들도 1억 원 이상의 과징금을 받은 기업들의 유출 사고입니다.

카카오톡 개인정보 유출 사고

2024년 상반기 개인정보 유출 사고 중에 과징금이 가장 높은 사건인데요.

카카오톡 개인정보 유출 사고는 해커가 오픈채팅방의 취약점을 이용한 것인데요.
오픈채팅방에 부여된 임시 ID에는 개인에게 부여된 회원일련번호가 포함되어 있었는데 일반채팅방에서도 동일한 일련번호를 사용하는 것으로 확인되었습니다.
임시 ID를 2020년 8월 이전에 개설된 오픈채팅방에서는 암호화가 되지 않았고, 이후에 개설된 오픈채팅방에서도 암호화를 쉽게 풀 수 있었습니다.
해커는 취약점을 친구 추가 기능과 불법 해킹 프로그램을 통해 이용자의 이름, 휴대전화번호 등 다섯 종류의 개인정보를 파악할 수 있었습니다.

개인정보보호위원회는 유출 사고에 대해 안전조치 의무 위반으로 과징금 151억 4,196만 원을 부과하였습니다.
또한 카카오톡은 유출 사고를 인지하였음에도 신고 및 이용자에게 유출 통지를 하지 않아 이에 대해 과태료 780만 원을 부과했습니다.

한화호텔앤드리조트 개인정보 유출 사고

한화호텔앤드리조트의 경우 지난해 3월 온라인에서 쿠폰으로 숙박 예약을 할 수 있는 프로모션을 진행했습니다.
이를 위해 온라인 예약 절차를 변경하면서 시스템 개발에서의 문제가 있었고, 이에 대한 사전 검증이 미흡했습니다.
이에 따라 회원이 쿠폰을 사용해 예약한 경우 예약자가 아닌 다른 사람의 예약정보 1,818건이 조회되는 오류가 발생하였습니다.

개인정보보호위원회는 안전조치 의무 위반이 있다고 판단하였고, 과징금 1억 8,531만 원과태료 300만 원을 부과했습니다.

참좋은여행 개인정보 유출 사고

참좋은여행은 지난해 2월에 개인정보 유출 의심 사례가 발생했었는데요.
이 때 이름, 생년월일, 전화번호, 성별, 이메일 등이 유출된 것으로 파악되었던 사건입니다.
해커가 직원의 계정 정보를 탈취하였고, 사내 주문관리시스템에 접속하여 이용자의 개인정보를 빼돌렸습니다.
이에 따라 스팸메일이 발송되는 사고가 발생하였습니다.

개인정보보호위원회는 개인정보처리시스템에 접근 시 ID와 비밀번호만으로 접근이 가능하고, 2단계 보안 인증 기능이 없는 것을 지적했습니다.
이에 개인정보보호위원회는 안전조치 의무 위반으로 과징금 1억 4,738만 원과태료 360만 원을 부과했습니다.

안전조치 의무 위반, 도대체 무엇인가요?

위의 세 사건 모두 공통적인 점이 ‘안전조치 의무 위반’인데요.
도대체 뭐길래 세 기업 전부 위반한 것인지 알려드리겠습니다.

안전조치 의무는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적 · 관리적 및 물리적 조치입니다.
안전조치 의무에는 다음과 같은 사항들이 있습니다.

  1. 내부 관리계획 수립 · 시행 및 점검
  2. 개인정보에 대한 접근 권한 제한을 위한 조치
  3. 개인정보에 대한 접근 통제를 위한 조치
  4. 개인정보를 안전하게 저장 · 전송을 위한 조치
  5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조 · 변조 방지를 위한 조치
  6. 바이러스, 랜섬웨어 등 악성프로그램 침투 여부 점검 · 치료할 수 있는 프로그램 설치 및 운영 등을 위한 조치
  7. 개인정보의 안전한 보관을 위한 보관시설 또는 잠금장치 등의 물리적 조치

안전조치 의무 쉽게 준수하는 방법

개인정보 안전조치 의무는 하루 또는 몇 시간 만에 준수할 수 있는 것은 아닙니다.
그래서 평소에 업무를 하면서 준수할 수 있는 방법을 찾는 것이 중요합니다.
어떻게 업무를 하면서 이런 안전조치 의무를 준수할 수 있는지 의문이 드실 텐데요.
바로 캐치시큐를 사용하는 것입니다.

캐치시큐는 구독 즉시 이런 안전조치 의무를 준수할 수 있는 기능을 사용할 수 있습니다.
구성원 접근 권한 기능, 접속지 IP 제한 기능, 개인정보 암호화 및 마스킹, 개인정보 자동 파기 등 다양한 보안 기능을 통해 안전한 개인정보 취급이 가능합니다.

안전조치 의무 준수, 캐치시큐와 함께하세요!

자료 참고 : 개인정보보호위원회 홈페이지


# 이슈

관련 최신글

안녕하세요. 캐치시큐입니다.
지난번에는 2024년 상반기 공공기관의 개인정보 유출 사고에 대해 알아보았는데요.
이번에는 민간기업의 개인정보 유출 사고에 대해 알아보겠습니다.

최근 개인정보 규제가 강화되면서 개인정보가 유출된 기업의 과징금도 높아졌는데요.
이전에는 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%‘로 규정했지만, 개정되면서 ‘전체 매출액의 3%‘로 조정되었기 때문입니다.
이번 글에서 알아볼 사건들도 1억 원 이상의 과징금을 받은 기업들의 유출 사고입니다.

카카오톡 개인정보 유출 사고

2024년 상반기 개인정보 유출 사고 중에 과징금이 가장 높은 사건인데요.

카카오톡 개인정보 유출 사고는 해커가 오픈채팅방의 취약점을 이용한 것인데요.
오픈채팅방에 부여된 임시 ID에는 개인에게 부여된 회원일련번호가 포함되어 있었는데 일반채팅방에서도 동일한 일련번호를 사용하는 것으로 확인되었습니다.
임시 ID를 2020년 8월 이전에 개설된 오픈채팅방에서는 암호화가 되지 않았고, 이후에 개설된 오픈채팅방에서도 암호화를 쉽게 풀 수 있었습니다.
해커는 취약점을 친구 추가 기능과 불법 해킹 프로그램을 통해 이용자의 이름, 휴대전화번호 등 다섯 종류의 개인정보를 파악할 수 있었습니다.

개인정보보호위원회는 유출 사고에 대해 안전조치 의무 위반으로 과징금 151억 4,196만 원을 부과하였습니다.
또한 카카오톡은 유출 사고를 인지하였음에도 신고 및 이용자에게 유출 통지를 하지 않아 이에 대해 과태료 780만 원을 부과했습니다.

한화호텔앤드리조트 개인정보 유출 사고

한화호텔앤드리조트의 경우 지난해 3월 온라인에서 쿠폰으로 숙박 예약을 할 수 있는 프로모션을 진행했습니다.
이를 위해 온라인 예약 절차를 변경하면서 시스템 개발에서의 문제가 있었고, 이에 대한 사전 검증이 미흡했습니다.
이에 따라 회원이 쿠폰을 사용해 예약한 경우 예약자가 아닌 다른 사람의 예약정보 1,818건이 조회되는 오류가 발생하였습니다.

개인정보보호위원회는 안전조치 의무 위반이 있다고 판단하였고, 과징금 1억 8,531만 원과태료 300만 원을 부과했습니다.

참좋은여행 개인정보 유출 사고

참좋은여행은 지난해 2월에 개인정보 유출 의심 사례가 발생했었는데요.
이 때 이름, 생년월일, 전화번호, 성별, 이메일 등이 유출된 것으로 파악되었던 사건입니다.
해커가 직원의 계정 정보를 탈취하였고, 사내 주문관리시스템에 접속하여 이용자의 개인정보를 빼돌렸습니다.
이에 따라 스팸메일이 발송되는 사고가 발생하였습니다.

개인정보보호위원회는 개인정보처리시스템에 접근 시 ID와 비밀번호만으로 접근이 가능하고, 2단계 보안 인증 기능이 없는 것을 지적했습니다.
이에 개인정보보호위원회는 안전조치 의무 위반으로 과징금 1억 4,738만 원과태료 360만 원을 부과했습니다.

안전조치 의무 위반, 도대체 무엇인가요?

위의 세 사건 모두 공통적인 점이 ‘안전조치 의무 위반’인데요.
도대체 뭐길래 세 기업 전부 위반한 것인지 알려드리겠습니다.

안전조치 의무는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적 · 관리적 및 물리적 조치입니다.
안전조치 의무에는 다음과 같은 사항들이 있습니다.

  1. 내부 관리계획 수립 · 시행 및 점검
  2. 개인정보에 대한 접근 권한 제한을 위한 조치
  3. 개인정보에 대한 접근 통제를 위한 조치
  4. 개인정보를 안전하게 저장 · 전송을 위한 조치
  5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조 · 변조 방지를 위한 조치
  6. 바이러스, 랜섬웨어 등 악성프로그램 침투 여부 점검 · 치료할 수 있는 프로그램 설치 및 운영 등을 위한 조치
  7. 개인정보의 안전한 보관을 위한 보관시설 또는 잠금장치 등의 물리적 조치

안전조치 의무 쉽게 준수하는 방법

개인정보 안전조치 의무는 하루 또는 몇 시간 만에 준수할 수 있는 것은 아닙니다.
그래서 평소에 업무를 하면서 준수할 수 있는 방법을 찾는 것이 중요합니다.
어떻게 업무를 하면서 이런 안전조치 의무를 준수할 수 있는지 의문이 드실 텐데요.
바로 캐치시큐를 사용하는 것입니다.

캐치시큐는 구독 즉시 이런 안전조치 의무를 준수할 수 있는 기능을 사용할 수 있습니다.
구성원 접근 권한 기능, 접속지 IP 제한 기능, 개인정보 암호화 및 마스킹, 개인정보 자동 파기 등 다양한 보안 기능을 통해 안전한 개인정보 취급이 가능합니다.

안전조치 의무 준수, 캐치시큐와 함께하세요!

자료 참고 : 개인정보보호위원회 홈페이지


# 이슈
관련 최신글
인기글
교육기관 개인정보 유출 대폭 증가…민감정보 다수 보유 중인데 괜찮은가?
역대급 개인정보 유출 사건…카드 3사 개인정보 유출 사고 총정리

개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신가요? 언제든지 문의주세요!
개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신 가요? 언제든지 문의주세요!
메뉴
error: 컨덴츠는 보호됩니다.