개인정보위, 안전조치 의무를 위반한 머크·온플랫·디알플러스에 총 1억 1,242만 원 과징금·과태료 부과

개인정보보호위원회, 안전조치 의무를 위반한 머크·온플랫·디알플러스에 총 1억 1,242만 원 과징금·과태료 부과

신규 서비스 출시 전 보안 점검 미흡 및 웹 취약점(SQL 삽입) 방어 미흡 등으로 개인정보 유출 발생

 

---

처벌 사유 1 (머크㈜: 신규 서비스 오류로 인한 개인정보 유출)
머크㈜는 자사 의약품에 대한 투약기록 관리 서비스 출시 과정에서 사전 보안 점검을 소홀히 해 시스템 오류 발생
→ 최대 108명의 개인정보가 타인에게 노출됨
→ 동일인으로 잘못 처리되는 오류로 인해 먼저 입력한 이용자의 개인정보가 이후 접속자에게 열람됨
→ 개인정보 유출 사실을 인지하고도 정당한 사유 없이 24시간을 초과하여 유출 사실 통지 지연
→ 이에 따라 과징금 8,000만 원, 과태료 600만 원 부과 및 결과 공표

---

 

처벌 사유 2 (디알플러스: SQL 삽입 공격으로 인한 개인정보 유출)
온라인 중고차 매매 서비스 ‘디알플러스’는 SQL 삽입 공격을 통해 최소 98명의 개인정보(주민등록번호, 계좌번호 등) 유출
→ 입력값 검증 미흡, 암호화 미조치, 안전한 인증수단 미도입, 접속기록 미보관
→ 개인정보 유출 신고 및 통지 지연
→ 이에 따라 과징금 3,242만 원, 과태료 840만 원 부과 및 결과 공표

---

 

처벌 사유 3 (온플랫: 수탁자로서 SQL 삽입 공격 방지 미조치)
온라인 결제 대행 수탁업체 온플랫은 SQL 삽입 공격을 막기 위한 입력값 검증 절차를 구현하지 않음
→ 최소 80명의 결제내역 등 개인정보 유출
→ 안전한 인증수단 및 접속기록 미보관
→ 수탁자인 관계로 과징금 대신 시정명령 및 결과 공표 조치

---

 

개인정보위 당부 사항

• 신규 서비스 출시 전 보안 취약점 점검 철저
• SQL 삽입 공격 등 널리 알려진 웹 취약점에 대한 지속적 예방 조치 필요

 

 

개인정보보호위원회