입찰용 온라인 신청
자사정보 관리
시스템 환경설정
자사 입찰환경
개인정보 관리
비드프로 고객 상담
전화 :
031 628 7891
팩스 :
031 628 7895
평일 9AM ~ 6PM 토/일/휴일 휴무
  
입찰자료 > 기관별 입찰 공지 > 국가기관(보도자료) > 행정안전부  
 
제목 (주)하나투어, 개인정보 유출사고로 행정처분 의결
기관
등록 2018/02/06 (화)
파일 180206 참고 (개인정보안전과) (주)하나투어 개인정보 유출사고로 행정처분 의결(외부).hwp
내용

행정안전부(장관 김부겸)는「제1차 과징금부과위원회」를 5일 개최하고 (주)하나투어에 3억2,725만원의 과징금, 대표자(CEO)와 임원대상 특별교육과 징계권고, 1,800만원의 과태료 처분을 의결하였다.

(주)하나투어는 2017년 9월말 해킹으로 인해 약 42만 명의 주민등록번호가 유출되면서 접근통제·암호화 등 기술적·관리적 안전조치를 위반하여 개인정보보호법 제정 이래 최초로 과징금이 부과되었다. 아울러, ㈜하나투어 대표자(CEO)와 개인정보보호책임자(CPO)을 대상으로 특별교육과 책임에 상응하는 징계를 권고하고, 주민번호와 개인정보 미파기에 대하여 과태료를 부과하였다.

그동안 행정안전부는 2017. 10월부터 방송통신위원회, 한국인터넷진흥원과 공동으로「합동조사단」을 구성하여 (주)하나투어의 해킹경위와 개인정보 처리·관리 실태에 대한 현장조사를 실시하였다.

현장조사에서 확인된 위법사항을 토대로 행정처분을 사전통지하였고('18.1.5), ㈜하나투어의 의견제출(1.5~1.19)을 접수받아「제1차 과징금부과위원회」에서 행정처분을 의결하여 최종통지 하였다.

한편, 행정안전부는 행정처분의 공정성 및 기관의 수용성 제고를 위해 「과징금부과위원회 운영규정」을 제정(행정안전부 훈령 제25호, ‘18.1.26)하였고 학식있고 전문성 있는 법조계와 학자를 위원으로 위촉하여‘과징금부과위원회(위원장: 임종인)’를 구성하였다.

그동안 실시된「합동조사단」의 해킹경위 분석결과, ㈜하나투어는 고객 465,198명과 임직원 29,471명을 합한 494,669명의 개인정보를 유출하였고 이 중에는 424,757명의 주민등록번호가 포함되어 있었다.

이번 사고로 ㈜하나투어가 업무용 피시(PC)에 파일 형태로 보관하던 주민등록번호 및 그 밖의 개인정보와 별도의 개발DB로 이관하여 보관하고 있던 개인정보가 유출되었다.

또한 고객의 예약 및 여행이 완료된 후 5년이 지난 2,218,257명의 개인정보와 2004년경부터 2007년까지 수집하여 보관의무가 없는 418,403명의 주민등록번호를 파기하지 않고 보관하다 적발되었다.

㈜하나투어의 주민등록번호 유출은 법 제24조제3항에 따른 안전성 확보조치 중 접근통제 및 암호화를 소홀히 하여 해커가 쉽게 주민등록번호에 접근하여 유출된 것으로 중대한 과실이 인정되었다.

우선, 안전한 접근통제를 위반하였다.

외부에서 내부 보안망 PC에 접근시 원격접속프로그램(Rview)의 아이디와 비밀번호를 확보하여 추가인증없이 접근하였고, DB접근제어 프로그램인 Hi-TAM을 통해 DB서버에 접속하는 경우에도 아이디, 비밀번호만으로 접속이 가능하여 안전한 인증수단을 마련하지 않았다.

DB서버에 접속하는 경우에 필요한 일정시간만 접속이 유지되도록 하는 ‘최대 접속시간 제한조치(Time Session-Out)’를 위반하였다.

그리고 암호화 저장 및 전송조치도 위반하였다. 위탁받은 유지보수 직원의 업무망 PC에 내부시스템의 아이디와 비밀번호를 평문저장하여 해커가 활용할 수 있도록 하였으며, 주민번호가 있는 PC에 엑셀 및 텍스트 파일의 일부를 암호화 또는 비밀번호를 설정하지 않은 상태로 보관하다가 유출되었다.

이에 따라 ㈜하나투어의 대표자(CEO) 및 개인정보보호책임자(CPO)를 대상으로 2018년도‘개인정보보호 특별교육’이수와 징계권고, 3억2,750만원의 과징금과 1,800 만원의 과태료를 처분하였다.

이번 유출사고가 (주)하나투어의 위수탁업체 관리감독 소홀, 접근통제와 암호화 등 중대한 안전조치의 위반, 그리고 과거에 항공기 예약고객의 유출로 인한 과태료 처분의 전력 등을 감안하여 특별히 대표자(CEO)의 특별교육 이수와 징계권고를 의결하였다.

「과징금부과위원회의」심의결과에 의하면, ㈜하나투어는 과징금 기본금액 산정과 1차·2차·최종산정에 있어서 ① 수탁업체 직원에 대한 관리감독 위반으로 개인정보 DB의 아이디와 비밀번호를 해커가 쉽게 접근할 수 있도록 하여 중대한 관리상의 과실을 보인 점 ② 2017년 1월 여행예약고객의 명단이 유출된 사고에서 통지의무를 위반하여 과태료 처분을 받은 점 ③개인정보 DB를 암호화하였으나 암호화 키를 동시에 보관하다가 주민번호를 유출 한 점 등 안전성 확보를 위한 과실의 정도가 중대하여 ‘매우 중대한 위반행위’에 해당하는 과징금을 부과하게 되었다.

행정안전부는 지난 2014년 3월 과징금 제도가 도입된 이래 민간협회와 자율규약을 맺고 사전예방차원의 계도활동과 협회 차원의 자율점검을 수행하였으나, 이번 사고로 ㈜하나투어에 과징금을 부과하면서 자율점검 감독체계도 함께 강화할 방침이다.

심보균 행정안전부 차관은 “개인정보보호법 제정이래 처음으로 부과되는 ㈜하나투어 과징금 처분을 통해 기업의 개인정보보호에 대한 사회적 인식을 제고하는 계기가 되기를 바라며, 특히 개인정보와 보안에 대한 CEO의 관심과 보안에 대한 투자가 절실한 시점이다.”라며, “정부는 앞으로도 개인정보 유출사고에 대한 국민의 불안감을 해소하고 기관의 보안의식 제고를 위해 지속적으로 개인정보 계도활동과 실태점검을 강화해 나가겠다.”라고 밝혔다.

* 기타 자세한 내용은 첨부파일을 참고하시기 바랍니다.

담당 : 개인정보안전과 유영관(02-2100-3491)
 
     
특허청
이노비즈
기업부설연구소
한국저작권협회
중소기업철
기보
서비스기업혁신
(주)비드프로 | 대표이사 : 지도곤 | 사업자번호 : 214-87-13819 | 통신판매업 : 제2020-성남분당C-0074호
Tel : 031-628-7891~4 | Fax : 031-628-7895 | E-mail : master@bidpro.co.kr
주소 : 경기도 성남시 분당구 판교로 255번길 9-22, 우림시티 604호 (삼평동, 판교테크노벨리)

ⓒ 2002. 비드프로 Corp