개인정보위, ‘개인정보 보호 소홀’ 제약사 머크에 과징금 부과

개인정보보호위원회 제공

개인정보보호위원회는 고객 개인정보 보호를 위한 안전조치 의무를 소홀히 해 개인정보를 유출한 글로벌 제약사 머크에 과징금 8000만원과 과태료 600만원을 부과했다고 12일 밝혔다.

개인정보위에 따르면 머크는 제조·판매하는 의약품에 대한 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시했으나 시스템 오류로 최대 108명의 개인정보가 유출됐다. 조사 결과 머크는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 해 해당 서비스에 접속하는 이용자가 동일인으로 처리돼 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있었다. 머크는 개인정보 유출 인지 후 정당한 사유 없이 24시간이 지나 유출 사실을 통지한 것으로도 확인됐다.

개인정보위는 전날 전체회의에서 머크에 과징금·과태료 부과와 함께 개인정보위 홈페이지에 이 같은 처분 사실을 공표하기로 의결했다. 이와 함께 개인정보위는 해킹 공격 방식인 에스큐엘(SQL·데이터베이스 조회 등에 사용하는 프로그램 언어) 삽입 공격에 대한 예방조치를 소홀히 해 회원 정보를 유출한 온라인 결제대행 서비스 수탁사인 온플랫과 온라인 중고차 매매중개 서비스 디알플러스 등 2곳에 대해서도 과징금 3242만원과 과태료 840만원을 부과하고 처분 결과 공표를 의결했다.

개인정보위는 온플랫에 대한 조사과정에서 회사 대표가 같은 디알플러스도 동일한 해킹 공격을 받아 개인정보가 유출된 사실을 인지해 조사를 폈다. 개인정보위는 개인정보를 처리하는 사업자는 신규 서비스 출시 전 보안 취약점 점검을 철저히 해야 하고, SQL 삽입 공격처럼 널리 알려진 웹 취약점 공격을 예방하기 위한 적절한 보안 조치 등 지속적인 주의가 필요하다고 당부했다.

김수정 기자(revise@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>