'여행사들 왜 이러나' 개인정보 또 뚫렸다…"솜방망이 처벌 원인"

by강경록 기자
2023.02.09 17:14:49

9일 참좋은여행, 개인정보 유출 의심 사과 공지
지난 1월엔 인터파크, 2017년 하나투어도 유출
2012년부터 7년간 7428만건유출, 과태료 건당 131원
하나투어 1천만원, 인터파크 44억원 과징금 내
개인정보보호위원회 “24시간 내 고객에 피해 사실 공지”

[이데일리 강경록, 이선우 기자] 대형여행사를 중심으로 개인정보가 연이어 유출되면서 고객의 피해가 커지고 있다. 고객 사이에선 여행사들의 재발 방지 대책 마련이 미흡하다는 비판이 계속 나오고 있다. 또 개인정보 유출 사태가 반복적인 건 처벌과 피해 보상 수위가 낮기 때문이라는 지적도 제기된다.

참좋은여행이 홈페이지에 개인정보 유출과 관련해 올린 사과문
◇참좋은여행, 1만건 이상 유출…하나투어·인터파크도 뚫렸다

9일 참좋은여행은 홈페이지에 “개인정보 유출로 의심되는 사례가 발생했다”며 “현재 관계 당국에 신고했고, 세부 내용을 파악 중이다”고 공지했다. 공지문에는 “보이스피싱이나 스팸 문자 등 2차 피해가 우려되는 만큼 주의를 기울여 달라”고 당부했다.

참좋은여행은 고객 피해 사실을 인지하고 현재 관련 기관과 함께 사건 대응에 나선 상황이다. 참좋은여행 측은 고객 정보 1만건 이상은 유출된 것으로 보고 있다. 유출 시점은 올 2월5일에서 7일 사이 3일간이다. 회사 측은 개인 정보 가운데 이름 생년월일 전화번호 성별 이메일 등 총 5가지 항목이 해커에 의해 유출된 것으로 파악하고 있다. 현재는 정보 유출이 확인된 직후 유출경로를 차단한 상태다. 회사 관계자는 “고객 정보의 일부가 유출된 것으로 확인이 돼 관계 당국에 신고절차를 마쳤다”며 “현재 세부 내용을 파악 중이다”고 말했다.

지난달에는 인터파크에서 이른바 ‘크리덴셜 스터핑’으로 추정되는 사이버 공격으로 인한 개인정보 유출 정황을 포착했다. 당시 인터파크 측은 필요한 모든 보안조치를 취했다면서 홈페이지를 통해 “신원 불상의 자로부터 사전 수집된 것으로 추정되는 계정정보(아이디, 비밀번호)를 이용한 로그인 시도가 발생했음을 확인했다”고 전했다. 이 공격으로 일부 회원의 이메일, 성별, 생년월일, 전화번호, 주소, 멤버등급 등의 정보가 빠져나갔다.

앞선 지난 2017년에는 국내 대표 여행사인 하나투어의 개인정보 유출사고도 있었다. 당시 하나투어는 해커 공격으로 고객의 연락처와 주소, 여권번호 등 고객 정보 3만 4000건이 유출된 것으로 알려졌다.



서울 서초구 대법원. (사진=방인권 기자)
◇범죄 악용 등 2차 피해, 솜방망이 처벌 잇단 사고 야기


여행사의 개인정보 유출 문제는 어제오늘의 일이 아니다. 이들 여행사는 여권번호와 집주소, 전화번호 등 민감 정보를 관리하는 만큼 유출 시 심각한 범행에 악용되는 등 2차 피해가 발생할 수 있다. 이에 소비자단체와 고객 사이에선 솜방망이 처벌이 개인정보 사고를 야기하고 있다는 지적이 계속되고 있다. 이렇다 보니 개인정보 유출 사고는 빈번하게 발생한 것으로 알려진다.

고객 정보 유출을 방치한 하나투어와 관리책임자에게는 지난해 각각 벌금 1000만원이 선고되는 선에서 마무리됐다. 인터파크는 2016년에도 1030만 명의 개인정보를 유출해 약 44억 원의 과징금을 부과받은 바 있다. 회사 측은 이를 취소해달라며 행정소송을 냈지만 대법원에서 최종 패소했다. 피해당한 회원 2400여명에게는 1인당 손해배상금 10만 원이 돌아가는 데에 그쳤다.

해외의 경우 대규모 개인정보 유출 사건은 강도 높은 과징금을 부과하는 것으로 알려져 있다. 영국 정보위원회(ICO)는 지난 2019년 해커 공격으로 3억3900만명의 고객정보를 유출한 메리어트인터내셔널에 1억2400만달러(약 1460억원)의 벌금 부과 계획을 통보했다. 영국 브리티시항공에는 2억3000만달러(약 2700억원)의 벌금을 부과하기도 했다.

이에 비해 국내 처벌 수위는 비교가 안 될 정도다. 방송통신위원회에 따르면 2012년 8월부터 2019년 8월까지 7년간 정보통신서비스 사업자로부터 유출된 개인정보가 7428만 건에 달했지만 과태료는 건당 평균 131원에 불과한 것으로 나타났다.

개인정보보호위원회 관계자는 “개인정보보호법상 고객 개인 정보를 유출한 기업은 24시간 이내 해당 고객에게 유출 사실을 알리고 즉시 피해 접수와 그에 따른 보상 방안을 마련하도록 돼있다””며 “이를 위반할 경우 최대 3000만원의 과태료 처분을 받게 된다”고 설명했다. 이어 “개인정보 유출로 인해 2차 피해를 볼 경우에는 피해 사실을 유출 당사자에게 알려야 그에 따른 적절한 보상을 받을 수 있다”고 덧붙였다.