[CIOCISO매거진 장명국 기자] 개인정보보호위원회는 최근 제15회 전체회의를 열어 개인정보보호 법규를 위반한 16개 지자체에 대한 과태료 부과와 시정조치 권고를 의결했다.

이날 개인정보위는 개인정보 보호 안전조치 의무를 소홀히 한 서울 관악구 등 전국 지자체 16곳에 5천100만원의 과태료가 부과됐다.

개인정보위는 전체 지자체 중 사회복무요원의 개인정보 처리 관련 사전점검 결과와 개인정보 수준진단 미흡기관 등을 종합적으로 고려해 20개 지자체를 선정해 조사한 결과 이 중 16개 지자체에서 개인정보 보호법 내 안전조치 의무를 위반한 것으로 확인됐다고 밝혔다.

12개 기관은 개인정보처리자의 책임 추적성을 확보하기 위한 접근권한 관리 항목을 위반했다. '책임 추적성'이란 시스템 내 각 개인은 유일하게 식별돼야 한다는 정보보호의 원칙으로, 이를 갖추면 시스템은 정보보호 규칙을 위반한 개인을 추적할 수 있고 개인정보처리자는 자신의 행위에 대한 책임을 질 수 있다.

인가받지 않은 자가 개인정보처리시스템에 접속하는 등 불법적인 접속을 막기 위한 접근통제가 미비한 경우는 6개 기관에서 적발됐다.

개인정보 저장시 안전한 암호 알고리즘을 사용하지 않은 경우 2건, 개인정보처리시스템의 접속 기록을 월 1회 이상 점검하지 않는 경우도 4건을 각각 확인했다.

개인정보위는 16개 지자체에 대해 위반 정도에 따라 기관별로 300만원에서 360만원까지 과태료를 부과하는 한편, 적발된 기관의 직원들을 교육하고 재발방지 대책을 마련하는 등의 시정조치를 이행할 것을 권고했다.

아울러 전 지자체에 개인정보 보호법 안전조치 의무 주요 위반사례를 전파할 예정이다.

이와 별개로 개인정보위는 개인정보 보호 법규를 위반한 5개 사업자에 대해 1천210만원의 과징금과 5천340만원의 과태료 부과 및 시정명령 조치도 의결했다.

문서공유 웹사이트를 운영하는 에이전트소프트는 홈페이지 취약점 점검을 하지 않았고, 웹방화벽을 비활성화하는 등 해킹 공격을 정상적으로 탐지하지 못해 이용자 개인정보가 유출됐다.

에이전트소프트는 과징금 1천210만원과 과태료 1천20만원을 부과받았다.

서버장비 쇼핑몰 운영사업자인 디에스앤지는 개인정보처리시스템 접속 권한을 인터넷 주소(IP) 등으로 제한하지 않고, 접속한 IP 등을 재분석해 유출 시도를 탐지하는 시스템을 운영하지 않아 이용자 개인정보가 유출됐다.

이용자의 비밀번호를 안전하지 않은 방식으로 암호화해 저장했고, 주민등록번호를 암호화하지 않고 평문으로 저장해 과태료 1천140만원을 부과하기로 의결했다.

이밖에 해외직구 배송대행업체 지비에이, 컴퓨터부품 커뮤니티 제이웍스코리아, 한국금융투자협회 금융투자교육원 등 3개 사업자는 접근통제, 개인정보 암호화 등 안전조치 의무를 소홀히 하거나 법적 근거 없이 주민등록번호를 처리해 과태료 부과 조치를 받았다.