명품 플랫폼 ‘발란’에 과징금 5억원…“개인정보 162만건 유출”

개인정보위, 과태료 1440만원 제재도
두 차례 해킹 공격 받아 개인정보 유출
소셜 로그인 오류로 엉뚱한 사람 정보 노출도

발란 공식 페이스북 갈무리

온라인 명품 플랫폼 ‘발란’이 고객 이름, 주소, 휴대전화번호 같은 개인정보 162만건을 유출해 5억1259만원의 과징금을 물게 됐다.

개인정보보호위원회는 10일 전체회의를 열어, 개인정보보호법을 위반한 발란에 시정명령과 함께 총 5억1259만원의 과징금과 1440만원의 과태료를 부과하기로 의결했다.

앞서 발란은 지난 3월과 4월 두 차례에 걸쳐 신원미상 해커의 공격을 받았다. 이 사고로 고객 이름, 주소, 휴대전화번호 등 개인정보 162만여건이 유출됐다. 또 소셜 로그인 기능에 오류가 발생해 이용자 식별 정보가 중복되며 일부 이용자에게 다른 이용자 개인정보가 노출되는 사고도 발생했다.

개인정보위 조사 결과, 발란은 더이상 사용하지 않는 관리자 계정을 삭제하지 않고 방치한 것으로 드러났다. 개인정보 처리 시스템에 접근하는 인터넷 주소(IP)도 제한하지 않았다. 개인정보위는 “해커가 미사용 관리자 계정을 도용해 해킹을 시도하고 고객 개인정보를 빼돌렸다”고 밝혔다.

발란은 개인정보 유출 사실을 고객에게 알리는 과정에서 유출 개인정보 항목과 유출 시점을 누락하기도 했다. 개인정보보호법에 따르면, 개인정보 침해가 발생하면 어떤 개인정보가 언제 빠져나갔는지를 24시간 안에 피해자들에게 알려야 한다.

양청삼 개인정보위 조사조정국장은 “온라인 쇼핑몰, 특히 웹호스팅 서비스를 이용하는 쇼핑몰을 겨냥한 해킹 공격이 계속되고 있다”며 “쇼핑몰 창업 초기엔 이용자 수를 늘리고 투자를 유치하는 등 규모를 키우는 데 집중하기 쉽지만 이용자 개인정보 보호에도 관심을 갖고 보안 취약점을 주기적으로 점검해야 한다”고 말했다.

발란은 “개인정보위 결정을 엄중하게 받아들인다. 사고 이후 외부 업체 컨설팅을 받아 위험 요소를 미리 파악하고 상시 대응하는 실시간 보호체계를 구축하고 보안 전문 인력을 늘리는 등 고객 정보를 보호하기 위한 투자를 대폭 늘렸다”고 밝혔다.

이번 해킹으로 피해를 본 발란 이용자들은 개인정보분쟁조정위원회 누리집(www.kopico.go.kr)에서 분쟁 조정을 신청할 수 있다.

정인선 기자 ren@hani.co.kr