[뉴스토마토 전연주 기자] 개인정보보호위원회(개보위)가 개인정보 보호법을 위반한 보람상조개발 등 보람상조 7개 사업자에 대해 과징금 총 5억4250만원과 과태료 1140만원을 부과했습니다. 보람상조개발은 계열사 고객정보를 통합 관리하면서도 접근 제어 등 안전조치를 제대로 하지 않았고, 계열사들도 수탁자 관리·감독 의무를 충분히 이행하지 않은 것으로 조사됐습니다.
개보위는 지난 13일 서울 종로구 정부서울청사에서 제9회 전체회의를 열고 이 같은 내용을 골자로 한 시정조치 및 공표 명령을 의결했다고 14일 밝혔습니다.
송경희 개인정보보호위원회 위원장이 지난 13일 오후 서울 종로구 정부서울청사에서 개최된 2026년 제9회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. (사진=개인정보보호위원회)
이번 사건은 보람그룹 계열사들의 고객정보가 보람상조개발 한 곳에서 통합 관리되는 과정에서 발생했습니다. 보람상조개발은 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리 업무를 위탁받아 수행했습니다. 각 계열사 홈페이지 등을 통해 수집된 개인정보도 보람상조개발이 통합 관리했습니다.
문제는 개인정보가 한곳에 모였지만, 이에 상응하는 보안조치가 충분하지 않았다는 점입니다. 개보위 조사 결과 보람상조개발은 개인정보처리시스템에 대한 접근 제어 등 안전성 확보 조치를 제대로 하지 않은 것으로 나타났습니다.
해커는 홈페이지 취약점을 이용해 이름과 생년월일, 주민등록번호 등 고객 개인정보를 탈취했습니다. 이 과정에서 보람상조 홈페이지 통합 회원과 온라인 상담 신청자 등의 개인정보 총 2만7882건이 유출됐습니다. 다만 개보위는 탈취된 정보가 외부에서 거래되거나 유통된 정황까지는 확인되지 않았다고 설명했습니다.
유출 사실을 알고도 정보 주체에게 제때 알리지 않은 점도 문제가 됐습니다. 개인정보처리자는 개인정보 유출 사실을 알게 된 경우 지체 없이 정보주체에게 관련 내용을 통지해야 합니다. 하지만 보람상조개발은 유출 사실을 27일 오후 5시쯤 인지하고도 고객 통지는 31일 오후 3시쯤 이뤄졌습니다. 인지 후 통지까지 약 나흘이 걸린 셈입니다.
보유 기간이 지난 개인정보를 파기하지 않은 사실도 확인됐습니다. 개인정보는 수집·이용 목적이 달성되거나 보유 기간이 지나면 지체 없이 파기해야 합니다. 그러나 보람상조개발은 일부 개인정보를 계속 보관한 것으로 조사됐습니다.
계열사 6곳도 제재 대상에 포함됐습니다. 이들 계열사는 개인정보 처리 업무를 보람상조개발에 맡긴 위탁자입니다. 개인정보 보호법상 위탁자는 수탁자가 개인정보를 안전하게 처리하도록 교육하고 관리·감독해야 하는데요. 개보위 관계자는 "계열사들이 교육·감독 의무를 사실상 이행하지 않은 것으로 봤다"고 설명했습니다.
이번 처분은 계열 회사 등 다수 기업이 관련되는 개인정보 처리 환경에서 위수탁 관계가 불투명하게 운영될 경우 보안 사각지대가 생길 수 있다는 점을 보여줍니다. 특히 개인정보를 통합 처리하는 경우 위탁자는 수탁자의 개인정보 처리 현황과 보호조치를 실질적으로 관리·감독해야 하지만, 이번 조사에서는 이 같은 책임이 충분히 이행되지 않은 것으로 확인됐습니다.
개보위는 이번 처분과 함께 그룹 차원의 개인정보 처리 현황 점검·정비, 의사결정 체계 정비, 위수탁 관계 투명성 확보 등을 명령했습니다. 또 법 위반 사실을 사업자 홈페이지에 공표하도록 했습니다.
개보위는 대규모 개인정보를 처리하거나 복잡한 위수탁 구조를 가진 사업자에 대한 실태점검과 감독을 강화할 방침입니다. 개보위는 올해 1월부터 상조 분야 전반에 대한 개인정보 처리실태 사전점검을 진행 중입니다. 개보위 관계자는 "상조 분야 사전점검은 현재 진행 중"이라며 "큰 상조 회사들을 중심으로 확인하고 있다"고 말했습니다.
전연주 기자 kiteju1011@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지