"韓 고객 1천200명 카드정보 탈탈 털렸다"…호텔스컴바인 과징금 얼마?
한국 고객 1천200명 이상의 이름, 카드정보 등을 유출한 호텔 예약 플랫폼 호텔스컴바인이 총 1억원이 넘는 과징금과 과태료를 부과받았다. 회원 개인정보 13만 건을 유출한 머니투데이방송도 철퇴를 맞았다. 개인정보보호위원회는 26일 전체회의를 열고 호텔스컴바인에 과징금 9천450만원, 과태료 1천600만원을 부과하기로 의결했다. 호텔스컴바인은 2013년 호텔예약 플랫폼 개발 당시 '예약정보'만 조회 가능한 접근 권한만으로 '카드정보'까지 조회 가능한 계정을 추가로 생성할 수 있도록 시스템을 잘못 설계한 것으로 드러났다. 이 틈을 노린 해커는 피싱 수법으로 아이디와 비밀번호를 탈취해 호텔스컴바인 시스템에 접속했고 카드정보까지 접근할 수 있는 계정을 생성했다. 그 결과 2019년에 한국 이용자 1천246명의 이름과 이메일주소, 호텔 예약정보, 카드정보가 유출됐다. 당시 적용된 옛 개인정보보호법은 개인정보 유출을 알게 된 후 24시간 이내에 위원회에 신고하고, 이용자에게도 통지해야 한다고 규정했다. 하지만 호텔스컴바인 측은 이 기한을 넘겨 관련 사실을 뒤늦게 신고·통지했다. 머니투데이방송도 개인정보보호 안전조치 의무 미준수로 6천778만원의 과징금과 1천140만원의 과태료를 부과 받았다. 운영 중이던 광고 공모전 사이트가 해커의 'SQL 인젝션 공격'을 당해 관리자 계정과 회원 개인정보 13만3천633건(중복 포함)이 유출됐기 때문이다. SQL 인젝션 공격은 웹페이지의 보안 허점을 이용해 악의적인 해킹 코드인 'SQL문'을 주입하고 데이터베이스를 장악한 뒤 개인정보를 빼가는 수법이다. 개인정보위는 "SQL 인젝션 공격 방지를 위한 입력값 검증 등의 조치를 일부 누락하고 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않은 것으로 밝혀졌다"며 "탈퇴한 회원의 정보를 파기하지 않고 보관한 사실과 개인정보 유출 통지를 지연한 사실도 확인됐다"고 설명했다.