고객 개인정보를 유출하고 관리를 소홀히 한 온라인 결제서비스업체 페이팔에 대해 과징금 9억 600만 원·과태료 1620만 원이 부과됐다.

개인정보 보호를 위한 조처를 제대로 하지 않은 3개 사업자도 시정명령과 과징금·과태료 처분을 받았다.

개인정보보호위원회는 25일 열린 전체회의에서 개인정보보호 법규를 위반한 페이팔에 대한 과징금·과태료 부과 처분을 이같이 의결했다고 26일 밝혔다.

개인정보위는 지난 2021년 12월 페이팔에서 송금 기능 해킹과 내부직원 전자우편 사기로 한국 이용자의 개인정보가 유출됐다는 신고를 받은 뒤 조사에 착수했다. 올해 1월에는 크리덴셜 스터핑 공격으로 추가 정보가 유출됐다는 신고를 받아 함께 조사했다.

크리덴셜 스터핑 공격은 해커가 이미 유출된 사용자 계정과 비밀번호를 다른 웹사이트에 무작위로 대입한 뒤 로그인에 성공하면 해당 사용자 정보를 빼가는 수법이다.

개인정보위 조사 결과 페이팔은 개인정보 보호법을 위반하였으며, 개인정보 유출 통지나 신고를 지연한 사실도 포착됐다. 송금 기능 해킹으로 2만 2067명의 이름·국가 코드·프로필 사진이, 크리덴셜 스터핑 공격으로 336명의 이름·생년월일·주소· 핸드폰 번호가 유출됐다.

페이팔은 특정 아이피(IP)에서 반복적으로 접근해 개인정보가 유출됐지만 이를 미리 탐지하거나 차단하지 못한 것으로 조사됐다. 이밖에도 내부직원 전자우편 사기(이메일 피싱)로 가맹점주 등 1186명의 이름과 업무용 전자우편 주소 등이 유출됐다.

개인정보위는 “전 세계에 서비스를 제공하는 글로벌 기업으로 개인정보 보호 안전조치를 강화할 필요가 있다”면서 “해외사업자가 국외에서 한국 이용자의 개인정보를 처리하는 경우라도 국내 개인정보보호법에 맞는 충분한 조치를 다 할 필요가 있다”고 말했다.

아울러 전체회의에서는 개인정보보호 법규를 위반한 자동차공임나라 등 3개 사업자에 대해 총 1억 9719만 원의 과징금과 2730만 원의 과태료 부과 안건도 의결됐다.

자동차공임나라에는 과징금 1250만 원·과태료 1080만 원·시정명령이 이뤄졌다. △오브콜스 과징금 3371만 원·과태료 630만 원 △와이엘랜드 과징금 1억 5098만 원·과태료 1020만 원·시정명령 처분을 받았다.

이밖에도 개보위는 전체회의에서 개인정보 보호법을 위반했지만 위반 정도가 경미하고 이를 적극 시정한 소상공인 등 5명과 개인 15명에게 과태료를 면제하고 ‘경고’ 조치하기로 의결했다.

지난 9월 개인정보 보호법 개정으로 법 위반자의 규모, 위반 행위 정도 등을 고려해 과태료를 면제할 수 있는 근거가 마련됐다. 이에 위법행위를 적극 시정한 소상공인과 개인에게 처음으로 과태료 면제 규정이 적용됐다.

<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지> XC