'300만 개인정보 유출' 모두투어 과징금 7억5720만원 부과

고학수 개인정보보호위원회 위원장이 3월 12일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제6회 전체회의에서 의사봉을 두드리고 있다. [사진=개인정보보호위원회]

해킹으로 300만명의 고객 정보가 털린 모두투어가 과징금 7억5720만원을 물게됐다.

개인정보보호위원회는 지난 12일 제6회 전체회의를 열고, 개인정보 보호 법규를 위반한 모두투어네트워크에 대해 총 7억5720만원의 과징금 및 과태료를 부과하고, 공표명령 및 개선권고하기로 의결했다. 

개인정보위는 지난해 7월 모두투어네트워크의 개인정보 유출 신고에 따라 조사한 결과, 개인정보 보호법에 따른 안전조치 의무와 개인정보 파기 및 유출 통지 의무를 소홀히 한 사실을 확인했다. 

조사 결과에 따르면, 해커가 지난해 6월 모두투어가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 업로드했고, 해당 파일에 존재하는 악성코드를 실행하여 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취한 것으로 나타났다.  

그런데 모두투어는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 했다. 아울러, 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 조사됐다. 

또한 모두투어는 316만여건의 개인정보를 보유기간이 경과되었음에도 파기하지 않고 보유하고 있어, 대규모 유출에 영향을 끼쳤다. 지난해 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 지난해 9월에야 개인정보 유출사실을 통지한 것도 개인정보 침해 우려를 키우게 된 원인으로 지목된다. 

이에 개인정보위는 모두투어에 과징금 7억4700만 원과 과태료 1020만 원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 이와 함께 향후 유출통지 지연 행위 등이 재발하지 않도록 내부 개인정보 보호 관리체계 개선을 요구했다. 

개인정보위 측은 "이번 유출 사고에서 주요 원인이 된 웹셸 공격은 잘 알려진 웹 취약점 공격이지만 DB에 접근이 가능하여 피해 정도가 큰 특징을 가지고 있는 만큼, 개인정보 탈취 위험에 대한 사전 탐지·차단 정책 강화 및 파일 업로드 취약점 점검·조치 등 각별한 주의와 예방이 필요하다"면서 "정보주체의 2차 피해 예방 등을 위해 개인정보 유출 사실 인지 즉시 통지가 이루어질 수 있도록 내부 개인정보 보호 체계를 정비해야 한다"고 당부했다.