"첫 주문인데 내 주소 어떻게 알았지"… 개인정보 유출 ‘바로고’ 등 10곳 제재

개보위, 개인정보보호법 위반 사업자 제재
LG유플러스, 임직원 2만9456명 정보 유출
디아스타코리아 과징금 8,297만원 부과돼

윤종인 개인정보보호위원회 위원장이 28일 오전 서울 종로구 세종대로 정부서울청사에서 열린 전체회의에서 모두발언을 하고 있다. 뉴스1

국내 대형 배달대행업체 ‘바로고’가 8년간 고객의 개인정보를 무단으로 활용해 시정명령 조치를 받았다. 내부 프로그램에서 임직원 개인정보가 대량 유출된 LG유플러스에도 안전조치 의무 위반으로 과태료 600만 원이 부과됐다.

개인정보보호위원회(개보위)는 28일 정부서울청사에서 전체회의를 열고 개인정보보호법을 위반한 10개 회사에 과징금 8,297만 원과 과태료 3,480만 원을 부과했다. 해당 업체들은 해킹과 불법행위, 담당자 실수 등으로 개인정보가 대량으로 유출된 것으로 확인됐다.

개보위 조사 결과, 바로고는 음식점의 배달 업무에만 이용해야 하는 배달 정보를 2014년 4월부터 올해 4월까지 무단으로 활용했다. 음식점에 주문 이력이 없는 주문자의 전화번호를 입력하면 주문자가 이전에 다른 음식점에서 이용했던 배달지 주소가 자동 조회·출력되도록 한 것이다. 바로고는 300만 건의 개인정보를 보유한 대표적인 배달대행 플랫폼 업체다.

올해 6월 해킹으로 4,800여 건의 이용자 예약 정보가 유출된 여행숙박중개 플랫폼 ‘디아스타코리아’도 개인정보보호법 위반으로 과징금 8,297만 원과 360만 원의 과태료 부과 및 시정명령 처분을 받았다. 디아스타코리아는 해커가 관리자 권한을 획득한 후 관리자 페이지에 무단 접속해 개인정보를 유출했다.

개보위는 영업소장이 개인정보를 조회할 수 있는 계정을 제3자에게 불법 제공해 고객 1,640명의 개인정보를 유출한 택배업체 ‘로젠’에도 과태료 600만 원을 부과했다.

내부정보 유출도 심각했다. LG유플러스는 지난해 12월 임직원 교육 프로그램 해킹으로 2만9,456명의 메일정보 등을 유출했다. 해커는 허술한 내부 프로그램을 뚫고 임직원 등의 메일정보를 빼내 다크웹에 게시했다. 콘텐츠업체 ‘컴투스’도 내부 직원 실수로 사내망에 건강검진 대상자를 공지하면서 임직원 연락처 등 개인정보를 게시한 것으로 드러나 과태료 300만 원 처분을 받았다.

양청삼 개보위 조사조정국장은 “음식점, 판매점, 부동산 등으로부터 개인정보 업무를 위탁받아 처리하는 수탁자는 업무 범위를 초과해 개인정보를 이용해선 안 된다”며 “수탁자 개인정보보호 법규 위반에 대해 과징금 등을 부과할 수 있는 개정안을 국회에 제출했다”고 밝혔다.

강지원 기자 stylo@hankookilbo.com