고학수 개인정보보호위원회 위원장이 26일 정부서울청사에서 전체회의를 열고 모두말씀을 전하고 있다.[ⓒ개인정보보호위원회]
[디지털데일리 김보민기자] 호텔 검색 플랫폼 '호텔스컴바인'이 개인정보보호 법규 위반으로 9000만원대 과징금을 문다.회원 개인정보가 유출된 머니투데이방송에도 6000만원대 과징금이 부과됐다.
개인정보보호위원회(이하 개인정보위)는 제11회 전체회의를 열고 호텔스컴바인과 머니투데이방송에 대해 과징금과 과태료를 부과하기로 의결했다고 27일 밝혔다.
호텔스컴바인에게는 과징금 9450만원과 과태료 1600만원이 부과됐다.개인정보위에 따르면 호텔스컴바인은 2013년 플랫폼 개발 당시 예약 정보만 조회할 수 있는 접근 권한만으로 카드정보까지 조회 가능한 계정을 추가 생성할 수 있도록 시스템을 설계했다.
이에 해커는 피싱 수법으로 아이디,베트남 호치민 쇼핑리스트비밀번호를 탈취해 호텔스컴바인 시스템에 접속했고 카드정보까지 접근할 수 있는 계정을 만들었다.그 결과,한국 이용자 1246명의 이름,베트남 호치민 쇼핑리스트이메일 주소,베트남 호치민 쇼핑리스트호텔 예약정보,카드 정보가 조회 및 유출됐다.유출 통지와 신고 또한 뒤늦게 한 사실이 확인됐다.
머니투데이방송에게는 과징금 6778만원과 과태로 1140만원이 부과됐다.운영 중이던 광고 공모전 사이트가 해커 에스큐엘 주입(SQL 인젝션) 공격을 받았고,베트남 호치민 쇼핑리스트이로 인해 관리자 계정과 회원 개인정보가 유출된 점이 주목을 받았다.SQL 인젝션 공격은 웹사이트 취약점을 이용해 악의적인 프로그램 언어를 실행하고,데이터베이스(DB)를 비정상적으로 조작하는 방식으로 이뤄진다.
개인정보위에 따르면 머니투데이방송은 SQL 인젝션 공격 방지를 위한 입력값 검증 등 조치를 일부 누락하고,베트남 호치민 쇼핑리스트개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영했다.안전조치 의무를 준수하지 않았다는 취지다.아울러 탈퇴한 회원 정보를 파기하지 않고 보관한 사실과 개인정보 유출 통지를 지연한 사실도 확인됐다.
한편 개인정보위는 개인정보보호 법규 위반에 따라 제재를 받은 두 사업자를 대상으로 처분 결과를 위원회 홈페이지에 공표하기로 했다.
“Finding NoiseAware was a miracle for us. We now have peace of mind that our neighbors have a peaceful neighborhood.”
"Every single unit that we have has NoiseAware. Every single unit that we go into will have NoiseAware. It's our first line of defense."
"We let neighbors know we're using NoiseAware to prevent parties. We want to show them that having great neighborly relationships is a priority for us, and for the whole short-term-rental community."
"I can tell my owners, 'Not only do we have insurance, but we also have guest screening and we have NoiseAware. We have multiple layers of protection for your property."