㈜야놀자·㈜스타일쉐어·㈜집꾸미기·㈜스퀘어랩이 개인정보보호위원회로부터 개인정보유출 등으로 행정처분을 받았다.
개인정보보호위원회는 29일 아마존 클라우드 서비스인 AWS를 사용하는 ㈜야놀자 등 4개 사업자에 개인정보 보호법규 위반행위에 대해 과징금 및 과태료 부과, 시정명령, 공표 등의 제재처분을 부과하기로 결정했다.
이날 개인정보보회위원회는 개인정보보호조치 미흡으로 개인정보가 유출된 ㈜야놀자·㈜스타일쉐어·㈜집꾸미기·㈜스퀘어랩은 총 1억8530만원의 과징금과 8300만원의 과태료가 부과 및 시정명령, 공표 등 시정조치를 내렸다.
4개 사업자는 모두 AWS 관리자 접근권한(Access Key)을 IP로 제한하지 않아 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영하여 개인정보가 유출되거나 제3자가 열람하였으며, 1년 이상 장기 미이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장 및 관리하지 하지 않았다.
개인정보보호위원회 관계자는 <뉴스워커>와의 통화를 통해 “야놀자의 경우 2019년도 3월, 나머지 기업은 20년도 4월에서 6월 사이에 발생한 사건으로 AWS의 개인정보조치 미흡으로 이용자의 개인정보가 열람 및 유출됐다”라며 “특히 ㈜집꾸미기의 경우 유출신고와 통지를 위반하기도 했다”라며 하고 발생 경위를 전했다.
이어 “㈜집꾸미기의 경우 AWS의 Access Key가 유출돼 해커가 이용자의 개인정보를 탈취하기도 했으며, 개인정보유출을 통지하는 메일을 발송하는 과정에서 이용자의 이메일 주소를 그대로 노출하기도 했다”라고 전했다.