고객 46만명 개인정보 유출...벌금형 나온 1심 불복해 항소
[현대경제신문 주샛별 기자] 하나투어가 부실한 서버 관리로 고객 개인정보 유출을 막지 못했다는 법원 판결에 불복해 항소한다.
하나투어는 관리부실로 고객 개인정보가 외부로 유출됐다는 서울동부지법의 1심 판결에 불복, 고등법원에 항소하겠다고 7일 밝혔다.
서울동부지법 형사4단독 박준민 부장판사는 정보통신망법 위반 혐의로 기소된 하나투어 본부장 김모씨와 하나투어 법인에 앞선 6일 각각 벌금 1천만원을 선고했다.
하나투어에서는 지난 2017년 고객 개인정보가 해커의 공격에 유출되는 사고가 발생했다.
유출된 고객 개인정보는 46만건이 넘었다.
정부 조사결과 하나투어에서는 2017년 9월 전산망 해킹으로 고객 46만5천198명과 임직원 2만9천471명 등 49만4천669명의 개인정보가 유출됐다. 이중에는 42만4천757명의 주민등록번호도 포함됐고 이름과 주소, 전화번호도 노출됐다.
행안부는 “하나투어의 주민등록번호 유출은 현행법에 따른 안전성 확보조치 중 접근통제 및 암호화를 소홀히 해 해커가 쉽게 주민등록번호에 접근해 유출된 것”이라며 “중대한 과실이 인정된다”고 밝혔다.
외부에서 하나투어 내부PC에 접근할 때 추가인증 없이 아이디와 비밀번호만으로 접근했고 DB접근제어 프로그램을 통해 DB서버에 접속하는 경우에도 아이디와 비밀번호만으로 접속이 가능한 상태였다는 설명이다.
또 DB서버에 일정시간만 접속이 유지되도록 하는 ‘최대 접속시간 제한조치(Time Session-Out)’를 위반했고 주민번호가 있는 PC에 엑셀과 텍스트 파일의 일부를 암호화하지 않은 상태로 보관했다.
하나투어는 해킹사고와 별도로 고객의 예약 및 여행이 완료된 후 5년이 지난 221만8천257명의 개인정보와 2004년 경부터 2007년까지 수집해 보관의무가 없는 41만8천403명의 주민등록번호를 파기하지 않고 보관하다 적발됐다.
이에 서울동부지검 사이버수사부는 정보통신망법 위반 혐의로 하나투어와 김 본부장은 지난해 6월 기소했다.
박준민 부장판사는 이날 판결에서 재판부는 “검찰이 제출한 증거들을 종합하면 피고인들에 대해 전부 유죄가 인정된다”며 “유출된 개인정보의 규모나 유출 경위 등을 참작해 형량을 결정했다”고 밝혔다.
이어 “법리적인 다툼을 많이 했지만 재판부에서 검토한 결과 피고인들의 주장을 받아들일 게 없다고 봤다”고 덧붙였다.
하지만 하나투어는 이날 내놓은 보도자료에서 “주요 시스템에 대한 접근제어 강화를 위해 신규 접근통제 솔루션을 도입하고 기존 접근통제 시스템들을 고도화했으며 악성파일 탐지와 APT 공격차단을 위한 시스템을 도입하는 등 기술적 조치에 최선을 다했다”고 반박했다.
이어 “개인정보 유출사고는 보안조치가 부족해서가 아닌 외부업체 직원의 상식 밖의 일탈행위에서 발생한 사고인 점을 감안하면 이번 판결이 과한 처분”이라고 덧붙였다.
조일상 하나투어 홍보팀장은 “이번 판결에 대해 법무법인과 함께 항소를 준비 중이며 고객이 더욱 안심할 수 있는 보안대책을 강구하고 앞으로도 최고 수준의 보안조치를 위해 최선을 다할 것”이라고 말했다.