2017년 해커 공격 받아…행안부 “관리 부실”
재판부 “피고인 주장 받아들일 게 없어..유죄”

 
 

[현대경제신문 주샛별 기자] 하나투어가 고객 46만여명의 개인정보를 제대로 관리하지 않아 유출사고를 막지 못한 혐의로 유죄판결을 받았다.

서울동부지법 형사4단독 박준민 부장판사는 정보통신망법 위반 혐의로 기소된 하나투어 본부장 김모씨와 하나투어 법인에 6일 각각 벌금 1천만원을 선고했다.

하나투어는 지난 2017년 10월 공식홈페이지를 통해 “고객님께 개인정보 유출 사실을 통지해드린다”며 “심려를 끼쳐드린 점 머리 숙여 사과드린다”고 밝혔다.

하나투어는 “당사 유지보수업체 직원의 PC가 악성코드에 감염됐음을 인지하고 조사하던 중 2017년 9월 28일 PC를 통해 개인정보 파일의 일부가 유출된 정황을 확인했다”고 설명했다.

유출된 고객 개인정보는 46만건이 넘었다.

행정안전부는 지난 2018년 2월 하나투어에 개인정보보호법 위반으로 과징금 3억2천725만원을 부과하는 행정처분을 내렸다.

정부 조사결과 하나투어에서는 2017년 9월 전산망 해킹으로 고객 46만5천198명과 임직원 2만9천471명 등 49만4천669명의 개인정보가 유출됐다. 이중에는 42만4천757명의 주민등록번호도 포함됐고 이름과 주소, 전화번호도 노출됐다.

행안부는 “하나투어의 주민등록번호 유출은 현행법에 따른 안전성 확보조치 중 접근통제 및 암호화를 소홀히 해 해커가 쉽게 주민등록번호에 접근해 유출된 것”이라며 “중대한 과실이 인정된다”고 밝혔다.

외부에서 하나투어 내부PC에 접근할 때 추가인증 없이 아이디와 비밀번호만으로 접근했고 DB접근제어 프로그램을 통해 DB서버에 접속하는 경우에도 아이디와 비밀번호만으로 접속이 가능한 상태였다는 설명이다.

또 DB서버에 일정시간만 접속이 유지되도록 하는 ‘최대 접속시간 제한조치(Time Session-Out)’를 위반했고 주민번호가 있는 PC에 엑셀과 텍스트 파일의 일부를 암호화하지 않은 상태로 보관했다.

하나투어는 해킹사고와 별도로 고객의 예약 및 여행이 완료된 후 5년이 지난 221만8천257명의 개인정보와 2004년 경부터 2007년까지 수집해 보관의무가 없는 41만8천403명의 주민등록번호를 파기하지 않고 보관하다 적발됐다.

이에 서울동부지검 사이버수사부는 정보통신망법 위반 혐의로 하나투어와 김 본부장은 지난해 6월 기소했다.

박준민 부장판사는 이날 판결에서 재판부는 “검찰이 제출한 증거들을 종합하면 피고인들에 대해 전부 유죄가 인정된다”며 “유출된 개인정보의 규모나 유출 경위 등을 참작해 형량을 결정했다”고 밝혔다.

이어 “법리적인 다툼을 많이 했지만 재판부에서 검토한 결과 피고인들의 주장을 받아들일 게 없다고 봤다”고 덧붙였다.

저작권자 © 현대경제신문 무단전재 및 재배포 금지