 |
온라인 결제서비스업체 페이팔이 ‘개인정보 보호법’ 위반으로 당국의 제재를 받게 됐다.
개인정보보호위원회는 지난 25일 전체회의를 열고 싱가포르에 있는 온라인 간편결제 서비스업체 페이팔에 과징금 9억600만원과 과태료 1620만원을 부과하기로 의결했다고 26일 밝혔다.
개인정보위는 지난 2021년 12월 페이팔이 송금 기능 해킹과 내부직원 전자우편 사기(이메일 피싱)로 한국 이용자의 개인정보가 유출됐다고 신고함에 따라 조사에 착수했다. 페이팔은 올해 1월에도 사전에 확보한 다수의 아이디(ID)와 비밀번호 정보를 무작위로 대입해 접속(로그인)을 시도하는 크리덴셜 스터핑 공격으로 개인정보가 유출됐다고 신고했다.
개인정보위는 3건의 유출 사건을 조사한 결과 페이팔이 개인정보 보호법을 위반해 안전조치 의무를 소홀히 하고, 유출 통지?신고를 지연한 사실을 확인했다고 밝혔다.
개인정보위에 따르면 송금 기능 해킹으로 2만2067명의 이름·국가 코드·프로필 사진이, 크리덴셜 스터핑 공격으로 336명의 이름·생년월일·주소·핸드폰 번호가 유출됐다.
하지만 페이팔은 특정 아이피(IP)에서 반복적으로 접근해 개인정보가 유출됐음에도 이를 미리 탐지·차단하지 못하는 등 개인정보처리시스템 운영을 소홀히 한 것으로 나타났다.
다만, 이메일 피싱으로 가맹점주 등 1186명의 개인정보가 유출된 것은 특정 직원의 대처가 미흡했기 때문인 것으로 파악됐다.
페이팔은 총 3건의 개인정보 유출 사고에 대한 통지와 신고도 늦게 한 것으로 확인됐다.
페이팔은 전체회의에서 다수의 정보보호 관련 인증을 취득하는 등 개인정보보호를 위한 노력을 펼쳤다고 주장했다. 하지만 개인정보위는 페이팔이 사회통념상 합리적으로 기대가능한 정도의 보호조치를 했다고 보지 않았다.
개인정보위 관계자는 “이번 조치는 해외사업자라도 한국 이용자의 개인정보를 처리하는 경우 국내 보호법상 안전조치 의무를 충실히 이행할 필요가 있다는 것을 다시 한 번 환기시키는 계기가 될 것”이라고 말했다.
김명은 기자 support@viva100.com
