여기 어때 개인정보 위반사항 요약

㈜위드이노베이션의 유출 정보 현황

구 분		유 출 항 목	건수	중복제거
이용자 정보	숙박 예약 정보	숙박수(구분), 제휴점명, 객실명, 예약일시, 예약자, 회원번호, 휴대전화번호, 결제방법, 결제금액, 원금액, 입금가, 예약현황, 입·퇴실(가능)시간 등	3,239,210건	910,705명*
	회원 정보	회원번호, 회원ID(이메일주소), 이름(또는 닉네임), 가입일자, 가입수단, 회원등급, 가입환경(OS정보) 등	178,625건	78,716명**
소 계		-	3,417,835건	971,877명***
사업자(제휴점) 정보****		업체번호, 업체명, 은행명, 계좌번호, 예금주, 연락처(휴대전화번호), 생년월일(사업자번호), 영업담당자, 회원등록상태, 등록일	1,163건	1,163명
합 계		-	3,418,998건	973,040명

* 숙박예약정보 3,239,210건을 휴대전화번호 기준으로 중복 제거

** 회원정보 중 이메일주소가 저장되어 있어 특정 개인을 식별할 수 있는 회원 수

*** 숙박예약정보와 회원정보 중 회원번호 등을 기준으로 동일인으로 파악된 17,544명 제외

**** <개인정보 비식별 조치 가이드라인>에서 사업체(개인사업자 포함)의 운영과 관련된 정보는 원칙적으로 개인정보에 해당하지 않는다고 해석

(주)위드이노베이션의 위반사항(요약)

위 반 내 용	관련 규정	시정조치
⦁개인정보 보호조치 (접근통제)	법 §28①제2호	시정명령   과징금 3억 100만원   과태료 1,500만원
- 개인정보처리시스템 접근권한 최소부여 원칙 위반   ※ 고객센터 상담직원 35명에게 개인정보처리시스템 파일다운로드 권한 부여 (상담사 유○○ 권한을 해커가 도용)	시행령§15②제1호 고시 §4①
- 취급자 인사이동 시 지체없이 개인정보처리시스템 접근권한 변경하여야 하나 이를 위반   ※ ’17.3.3. 조직개편에 다른 인사이동(195명 전보) 후 3.20.까지 관리자페이지의 접근권한 미변경, 사고 인지(3.21.) 후인 3.24. 일괄 변경 (이중 직원 김○○의 최고관리자 권한을 해커가 도용)	시행령§15②제1호 고시 §4②
- 취급자가 외부에서 정보통신망을 통해 개인정보처리시스템 접속 시 안전한 인증수단 미적용	시행령§15②제1호 고시 §4④
- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀   ※ OS에서 제공하는 기본방화벽(iptable) 및 오픈소스(Snort)를 이용한 침입탐지 외 전문기업이 제공하는 시스템 미설치   ※ 외부에서 파일 다운로드 시도 등 시스템에 접속한 IP 주소 재분석 미실시	시행령§15②제2호 고시 §4⑤
- 개인정보 다운로드·파기 가능한 취급자의 컴퓨터 망분리 미적용   ※ 매출액 100억원 이상, 저장·관리하는 이용자수 100만명 이상에 해당	시행령§15②제3호 고시 §4⑥
- 웹페이지 취약점   ※ SQL 인젝션 공격 등을 방지할 수 있는 시큐어 코딩 미수행 ※ 마케팅센터 웹페이지 취약점 점검 미수행 (해당 웹페이지 해커 공격)	시행령§15②제5호 고시 §4⑨
⦁개인정보 보호조치 (접속기록)	법 §28①제3호
- 개인정보취급자의 접속기록 보관(6개월), 정기정검(월 1회 이상) 의무 위반	시행령§15③ 고시 §5①④
⦁개인정보 보호조치 (암호화)	법 §28①제4호
- 관리자페이지 접근권한 변경이력의 관리자 비밀번호 평문 저장	시행령§15④제1호 고시 §6①
- 직원 개인용PC에 이용자개인정보(20,462건) 미암호화 저장	시행령§15④제4호 고시 §6
⦁개인정보의 파기 (유효기간제)	법 §29②	시정명령   과태료 1,000만원
- 1년간 서비스를 미이용한 이용자의 개인정보(1,101,528건)를 파기하거나 다른 이용자의 정보와 분리하여 별도 저장·관리하지 않음	시행령§16②