개인정보 유출된 머크·온플랫·디알플러스 총 1억 1,242만원 과징금

신규 서비스 출시 전 취약점 점검 철저, 웹 취약점도 지속 주의 당부

개인정보보호법을 위반한 머크, 온플랫, 디알플러스 3개 사업자가 총 1억 1,242만원의 과징금, 1,440만원 과태료, 시정명령 및 결과 공표를 받았다.

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 6월 11일(수) 제13회 전체회의를 열고, 이 같이 의결했다.

머크, 과징금 8,000만 원과 과태료 600만원 부과

'머크'는 제조·판매하는 의약품에 대한 투약기록 관리 등 편의성 제공을 위한 신규 서비스를 출시하면서, 시스템 오류로 최대 108명의 개인정보가 유출됐다.

조사 결과, 머크는 신규 서비스 출시 전 보안 취약점 점검을 소홀히 했다. 해당 서비스 접속 이용자가 동일인으로 처리돼 먼저 개인정보를 입력한 이용자의 정보를 이후 접속한 다른 이용자가 열람할 수 있었다. 한편, 머크는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실도 확인됐다. 이는 이전 보호법 적용 사건으로, 정보통신서비스 제공자는 인지 후 24시간 이내 유출 통지해야 한다.

이에 따라 개인정보위는 머크에 과징금 8,000만원과 과태료 600만원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표키로 했다.

디알플러스 및 온플랫, 과징금 3,242만 원과 과태료 840만 원 부과

당초 온플랫에 대한 조사과정에서 동일한 해킹 공격(에스큐엘(SQL) 삽입 공격)으로 같은 대표자가 운영 중인 디알플러스에서도 유출 됐다. 각각 최소 80명, 98명의 결제내역 등 개인정보 유출이 확인됐다.

온플랫은 SQL 삽입 공격 예방을 위한 입력값 검증 절차를 구현하지 않았다. 또 온플랫과 디알플러스 모두 외부에서 개인정보처리시스템에 접속하는 경우 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않았다. 이어 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관하지 않은 것으로 밝혀졌다. 아울러 디알플러스는 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장, 개인정보 유출 신고 및 통지 지연도 확인됐다.

개인정보위는 디알플러스에는 과징금 3,242만원과 과태료 840만원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다. 온플랫에는 시정명령과 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다. 이는 보호법 적용 사건으로, 수탁자 경우 시정명령 등만 가능해 재발방지 대책 등이 부과된 것이다.

개인정보위는 "개인정보를 처리하는 사업자는 신규 서비스 출시 전 보안취약점 점검을 철저히 하고, SQL 삽입 공격처럼 널리 알려진 웹 취약점 공격 예방 등 적절한 보안조치 와 지속적인 주의가 필요하다"고 당부했다.

Related Materials

개인정보위, 안전조치 의무를 위반한 3개 사업자 제재(정부 공식 보도자료), 2025-06-12
개인정보 유출사고 대응 매뉴얼(한국정보통신기술협회, TTA), 2023
개인정보 보호 및 정보보안 관리 실태 분석(한국정보보호학회 논문집, 2023), 2023
2024 개인정보 이슈 심층 분석 보고서(개인정보보호위원회), 2024
클라우드 환경에서의 개인정보보호 실무 가이드(한국정보통신기술협회, TTA), 2023