개인정보보호위, 과징금 5.4억-과태료 1140만원 의결
24년 5월 해킹으로 회원정보 유출
"개인정보 처리 불투명하게 운영되는 사각지대에 대한 경고"
특히 6개 계열사사의 회원정보를 특정 1개 계열사가 통합관리하도록 한 그룹단위 개인정보 관리 과정에서 개인정보 처리현황이나 보호조치 등 실질적 감독권한이 개인정보를 위탁한 회사의 의무인데도, 보람상조는 감독의무를 소홀히 한 것으로 드러났다.
개인정보보호위원회는 지난 13일 제9회 전체회의를 열어 개인정보 보호법을 위반한 보람상조개발㈜ 등 등 보람상조 7개 사업자에 대해 과징금·과태료를 부과하고, 시정 및 공표 명령을 의결했다고 14일 발표했다.
개인정보보호위는 "24년 5월 28일 보람상조개발로부터 개인정보 유출 신고가 접수돼 조사한 결과 안전조치의무 위반 및 수탁자에 대한 관리감독 소홀 등의 법 위반 사실을 확인했다"고 제재 결정 배경을 설명했다.
![[서울=뉴시스] 보람상조 로고 (사진=보람상조 제공) photo@newsis.com *재판매 및 DB 금지 /사진=뉴시스](https://image.fnnews.com/resource/media/image/2026/05/14/202605141102298813_l.jpg)
보람상조개발은 보람상조리더스㈜ 등 보람그룹 내 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스(DB)를 운영했는데, 시스템에 대한 접근제어 등 안전성 확보조치를 소홀히 한 것으로 드러났다는 것이다.
또 위탁사인 6개 계열사는 개인정보 처리를 위탁한 주체로서 수탁자인 보람상조개발이 안전하게 정보를 관리하도록 교육하고 감독해야 할 의무가 있는데도 이를 충분히 이행하지 않은 사실이 확인돼 과태료 처벌을 결정했다고 설명했다.
특히 보람상조개발은 개입정보 유출 사실을 인지한 후 정보주체에게 지체없이 통지하지 않고 법정 기한을 넘겨 통지한 사실이 드러났고, 보유 기간이 경과한 개인정보를 파기하지 않고 보관한 사실도 확인됐다고 덧붙였다.
이번 제재 결정에 대해 개인정보보호위는 "계열회사 등 다수 기업이 관련되는 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 발생할 수 있는 보안 사각지대를 경고했다는 데 의의가 있다"며 "위·수탁 등을 통해 개인정보를 통합 처리하는 경우, 효율성 못지않게 처리 체계의 투명성 확보가 중요하며, 위탁자는 수탁자의 개인정보 처리 현황 및 보호 조치 등을 실질적으로 관리·감독할 책임이 있다는 점을 명확히 한 결정"이라고 설명했다.
cafe9@fnnews.com 이구순 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지