X

"고객정보 유출, 직원 일탈"…하나투어, 벌금 1천만원 1심 선고 불복

김보겸 기자I 2020.01.07 14:30:59

하나투어, 벌금 1000만원 1심 선고 항소 예정
지난 2017년 고객 개인정보 46만건 유출 혐의
"직원 부주의 때문에 감염…회사 보안 탓 아냐"
檢 "외부에서 로그인하는데도 보안시스템 없어"

고객 개인정보 유출로 벌금 1000만원을 선고받은 하나투어 (사진=연합뉴스)


[이데일리 김보겸 기자] 정보 관리를 소홀히 해 고객정보를 무더기로 유출, 벌금 1000만원을 선고받은 하나투어(039130)가 항소할 예정이다. 정보 유출이 외부 직원의 상식 밖 일탈에 따른 것이었다며 벌금형이 과도하다는 입장이다. 하지만 법원은 외부에서 로그인을 시도할 때 이를 검증할 보안 시스템이 충분치 않았다며 양형 사유를 밝혀 항소가 받아들여질지는 미지수다.

◇고객정보 46만건 유출에…벌금 1000만원

하나투어는 7일 정보통신망법 위반 혐의로 개인정보 관리책임자와 법인에 각각 벌금 1000만원씩이 선고된 판결에 불복해 항소할 것이라고 밝혔다.

서울동부지법은 지난 6일 고객 46만여명과 임직원 3만명가량의 개인정보가 유출되도록 한 혐의를 받는 하나투어 김모(48) 본부장과 하나투어 법인에 대해 벌금 1000만원을 선고했다.

하나투어 측은 “(유출 사건은) 외부 직원의 상식 밖 일탈 행위에 의한 것”이라며 “예상보다 과한 처분에 항소를 준비 중”이라고 밝혔다.

법원 (사진=이데일리DB)


◇“집에서 PC 켜둔 직원 잘못…보안에는 문제 없어”

하나투어는 지난 2017년 9월 원격제어 악성 프로그램을 유포하는 해커의 공격을 받았다.

해커가 유포한 악성 프로그램은 하나투어 외주 관리업체 직원의 개인 노트북을 감염시켰다. 당시 하나투어 관리자용 아이디와 비밀번호는 암호화되지 않은 상태로 메모장 파일 형태로 저장돼 있었고, 원격으로 이를 들여다본 해커가 하나투어 데이터베이스(DB)에 접속해 고객과 임직원 개인정보를 빼낸 것이다.

하나투어는 외부직원의 안전 불감증 탓에 개인정보 유출사건이 발생했다는 입장이다. 조일상 하나투어 홍보팀장은 “외부업체 직원이 집에서 개인 PC를 계속 켜놓고 DB에 접속할 계정 주소를 메모장에 적어둔 탓에 발생한 일”이라며 “보안망 자체의 암호화와는 다른 문제”라고 해명했다.

또한 하나투어는 ‘우리도 해킹의 피해자’라는 입장을 유지했다. 해커가 감염 PC를 통해 빼낸 고객과 임직원 정보 수십만건을 빌미로 6억원을 요구하는 협박 이메일을 보냈다는 것이다.

그러면서 “이미 행정안전부에 과징금도 냈는데 이것과 별개로 검찰에서 기소해 벌금형이 나왔다”라며 “벌금형 처분을 받으면 사실상 회사에서 정보보호 업무 자체를 기피하게 될 수 있다”고 강조했다. 지난 2018년 2월 행정안전부는 개인정보 관리를 소홀히 했다는 이유로 하나투어에 과징금 3억2725만원과 과태료 1800만원을 처분했다.

◇檢 “외부에서 로그인하는데 보안절차 없었다”

하지만 하나투어의 항소를 법원이 받아들일지는 미지수다. 검찰은 지난해 6월 이들을 정보통신망법 위반 혐의로 기소하며 ‘외부에서 개인정보 처리 시스템에 접속할 때 추가 인증수단을 거치도록 해야 함에도 이를 지키지 않았다’며 관리 의무 소홀을 지적했다. 외부 직원의 일탈로 책임을 돌리기 이전에 더욱 안전한 인증 수단을 썼어야 하는 게 아니냐는 지적이다.

법원 역시 하나투어에 벌금형을 선고하며 “법리적인 다툼을 많이 했지만 피고인들의 주장을 받아들일 게 없다고 봤다”고 설명했다.

한편 하나투어 개인정보를 해킹한 해커는 신원이 특정되지 않아 2018년 12월 기소 중지됐다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지