[비즈니스포스트] 개인정보보호위원회는 28일 제2회 전체회의를 열고, 개인정보 보호 법규를 위반한 한국연구재단에 7억300만 원의 과징금과 480만 원의 과태료를 부과했다고 29일 밝혔다.

아울러 처분 결과를 개인정보위 홈페이지에 공표하고 해당 사업자 홈페이지에도 결과를 공표할 것을 의결했다.
 
조사 결과에 따르면 한국연구재단이 운영하는 온라인논문투고시스템(JAMS)의 개인정보 보호법 위반사실을 확인했다.

지난해 6월6일 해커는 JAMS 내 학회페이지의 비밀번호 찾기 인터넷주소(URL)에 존재하는 취약점을 악용해 파라미터 변조 및 이메일 무작위 대입을 통해 JAMS 회원 약 12만여 명의 성명, ID, 이메일, 휴대전화번호, 계좌번호 등 44개 항목 등 개인정보를 열람했다.

개인정보위는 연구재단이 시스템 특성상 연구자의 기본적 개인정보뿐만 아니라 연구 내용 등 광범위한 정보를 보유하고 있음에도 장기간 취약점 탐지·개선이 이루어지지 않았고, 개인정보보호 관리체계 전반이 부실했으며 명의도용이라는 2차 피해가 현실화된 점 등을 고려해 이번 유출 사고를 매우 중대한 사고라고 판단했다.

개인정보위는 이날 개인정보 보호법을 위반한 티머니에도 총 5억3400만 원의 과징금을 부과하고 시정명령 및 공표 명령하기로 의결했다.

티머니는 선불교통카드 및 대중교통 요금 정산 등 서비스를 운영하는 사업자다. 티머니 카드&페이 웹사이트에 해커가 2025년 3월13일부터 3월25일 사이 침입해 5만1691명의 이름, 이메일 주소, 휴대폰 번호, 주소 등 개인정보를 유출했다.

해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 T마일리지 약 1400만 원을 선물하기 기능으로 탈취하여 추가 피해가 발생하기도 했다.

개인정보위는 엔에이치엔커머스에게도 과징금 870만 원, 과태료 450만 원 및 공표명령을 부과하기로 의결했다.

엔에이치엔커머스는 쇼핑몰 구축을 원하는 이용사업자들에게 서비스형 소프트웨어(SaaS) 방식의 ‘e나무’ 솔루션을 제공하고 있다. 

해당 솔루션의 장바구니 관련 웹페이지가 해킹 공격을 받으면서 2024년 9월 경 17개 이용사업자 홈페이지에서 총 122건의 주문자 개인정보가 유출되는 사고가 발생했다. 조승리 기자