【서울 = 서울뉴스통신】 이민희 기자 = ㈜모두투어네트워크가 2013년 3월부터 수집한 비회원 316만여 건의 개인정보를 보유기간이 지났음에도 가지고 있어, 이번 해커 공격에 의한 대규모 개인정보유출 사고의 더 큰 원인을 제공했다는 지적이다.

여행사 등 여행 서비스관련 사업자가 보유하고있는 소비자 개인정보 보호 등의 중요성이 부각된다. 

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 지난 12일 제6회 전체회의를 열고, 개인정보 보호 법규를 위반한 ㈜모두투어네트워크*에 대해 총 7억 5720만 원의 과징금 및 과태료 1020만 원을 부과함과 동시에 공표명령 및 개선권고키로 의결했다고 밝혔다. 

사실관계는 이렇다.

신원미상의 해커는 지난 6월 ㈜모두투어네트워크가 운영 중인 웹페이지의 파일 업로드 취약점을 이용해 다수의 웹셸기법 파일을 업로드했다.

(웹셸 공격 : 특정 웹페이지의 파일 업로드 취약점(파일 업로드 기능을 이용해 비정상적인 스크립트 파일 등을 실행)을 통해 시스템에서 실행가능한 악성코드를 삽입 및 실행하여 관리자 권한 획득, 개인정보 탈취 등을 행하는 공격)

신원미상의 해커는 해당 파일에 존재하는 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여 명의 개인정보(한글이름, 영문이름, 생년월일, 성별, 휴대전화번호 등)를 탈취했다.

◇모두투어, 개인정보 유출 후 2개월 지나 사실 통지 드러나

개인정보위 조사 결과에 따르면, ㈜모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점 점검·조치를 취해야 했지만 이를 소홀히 한 것으로 드러났다.

아울러, 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.

또, 2024년 7월 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 2개월이 지난 2024년 9월에야 개인정보 유출사실을 통지한 것도 개인정보 침해 우려를 키우게 된 한 원인으로 지목된다.

개인정보위 개인정보위는 ㈜모두투어네트워크에 과징금 7억 4700만 원과 과태료 1020만 원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 이와 함께 향후 유출통지 지연 행위 등이 재발하지 않도록 내부 개인정보 보호 관리체계 개선을 요구했다.

개인정보위는 이번 유출 사고에서 주요 원인이 된 웹셸 공격은 잘 알려진 웹 취약점 공격이지만 데이터베이스(DB)에 접근이 가능해 피해 정도가 큰 특징을 가지고 있는 만큼, 개인정보 탈취 위험에 대한 사전 탐지·차단 정책 강화 및 파일 업로드 취약점 점검·조치 등 각별한 주의와 예방이 필요하다고 강조했다.

더불어, 대규모 개인정보 처리 사업자는 보유기간 경과, 처리목적 달성 등 수집한 개인정보가 불필요하게 되었을 때는 이를 지체없이 파기하여 혹시 모를 개인정보 유출사고 발생 시 피해규모를 최소화해야 한다고 설명했다.

아울러, 정보주체의 2차 피해 예방 등을 위해 개인정보 유출 사실 인지 즉시 통지가 이루어질 수 있도록 내부 개인정보 보호 체계를 정비할 것을 개인정보위는 당부했다.

◇모두투어, 우준열 신임사장 임명 인사 단행…디지털 전환 가속화 밝혀 

한편, 모두투어는 지난 21일 인사를 통해 유인태 사장을 부회장으로, 우준열 부사장을 사장으로 선임하는 임원 인사를 단행했다. 신임 우준열 부사장은 모두투어 창립자 우종웅 회장의 아들이다. 

모두투어 측은 3년간 이어져 온 차세대 시스템 개발이 마무리 단계에 접어든 만큼, 디지털 전환을 가속화하고 주력 사업인 패키지 상품 경쟁력을 한층 강화할 방침이라고 밝혔다.

또한 새로운 패키지 비즈니스모델을 도입하고 프리미엄 상품 확대, 자사 채널 강화 등을 통해 핵심 사업을 더욱 확장해 나간다는 계획도 공고히 했다.

우준열 모두투어 신임 사장은 "급변하는 여행 트렌드와 대내외 다양한 위기에 신속하고 유연하게 대응하려면 끊임없는 변화와 혁신이 필요하다"라며 "지난 36년 동안 대한민국 여행 문화를 선도해 온 기업으로서의 자부심을 바탕으로 고객들에게 더욱 가치 있는 여행 경험을 제공할 수 있도록 최선을 다하겠다“라고 말했다.