닫기 공유하기

정보보호 미흡한 SK플래닛 등 8개 PG사 과태료 8000만원

접근통제장치 미흡…10년 전 결제정보 보유하기도

[편집자주]

최성준 방송통신위원장이 정부과천청사에서 전체회의를 주재하는 모습/뉴스1 © News1
최성준 방송통신위원장이 정부과천청사에서 전체회의를 주재하는 모습/뉴스1 © News1


전화번호나 결제내역 등의 민감한 내용이 담긴 정보통신망의 안전조치를 미흡하게 하거나 유효기간이 지난 개인정보를 파기하지 않고 보관한 결제대행사(PG) 8곳에 총 8000만원의 과태료가 부과됐다.

방송통신위원회는 15일 과천정부청사에서 전체회의를 열고 이같은 내용을 담은 '개인정보 보호 법규 위반 사업자에 대한 시정조치 안건'을 의결했다.

시정조치에 따라 CJ올리브네트웍스, SK플래닛, NHN한국사이버결제, KS넷, KG모빌리언스, KG이니시스, 퍼스트데이터코리아, 한국정보통신 등 8개 사업자에 각각 1000만원씩 과태료가 부과됐다. 삼일회계법인의 경우 정보통신망법 위반사항이 적발됐지만 빠른 시일내 시정한 점 등을 감안해 과태료 부과가 유예됐다.

방통위는 이들 9개 사업자에 법인 대표와 개인정보보호 책임자, 개인정보취급자 등을 대상으로 정기적 교육을 실시한 뒤 교육결과와 재발방지책을 수립해 보고하도록 의무를 부과했다.

앞서 방통위는 지난해 8월부터 행정자치부, 한국인터넷진흥원(KISA) 등과 함께 결제대행 사업자의 개인정보보호 법규 위반 여부와 관련한 기획조사를 실시했다. 결제대행 사업자(PG)는 온라인 쇼핑몰이나 통신사 등을 대표해 수요자와 공급자간 온라인 대금 결제를 중계하는 사업자로 정보통신망법상 통신서비스 제공자로 분류된다.

이에 따라 이들 PG사들은 정보통신망법에 명시된 개인정보 보호 의무 등을 지켜야 한다. 그러나 정부 조사 결과 CJ올리브네트웍스, SK플래닛, KG이니시스 등 8개 사업자들은 자신들의 결제서비스를 사용하는 가맹점이 정보통신망을 이용해 외부에서 접속하는 경우 아이디와 비밀번호만으로 사용이 가능할 정도로 허술한 접근체계를 갖춘 것으로 드러났다.

이는 개인정보의 분실·도난·유출 등의 방지하기 위해 안전한 인증수단을 적용한 접근권한 부여 등의 접근통제장치를 마련해야 한다는 내용의 정보통신망법 제28조1항 위반에 해당된다.

특히 KG이니시스의 겨웅 이용자로부터 동의받은 개인정보를 법령상 정해진 기간을 초과해 보유한 것으로 드러났다. 방통위에 따르면 KG이니시스는 2004년 5월부터 지난해 8월 조사 당시까지 239만명의 결제정보 6255만여건을 파기하지 않고 보유한 것으로 나타났다. 이는 정보통신망법 29조1항 위반 사항이다. KG이니시스는 정부 조사 한달여 이후인 2016년 9월 29일 보유기간이 지난 정보를 모두 파기했다.

또 삼일회계법인의 경우 영리를 목적으로 자격증 응시 등을 위한 홈페이지를 운영하는 정보통신망법 사업자로서, 마케팅 광고 활용 항목에 이용자들이 동의하지 않을 경우 회원가입 자체를 불가능하게 한 사실이 적발됐다.
로딩 아이콘