고객정보 306만건 유출 ‘모두투어’…과징금 7억5000만원

입력 2025.03.13 12:25

수정 2025.03.13 14:14

펼치기/접기

배문규 기자

모두투어 개인정보 유출사고 개요. 개인정보보호위원회 제공

지난해 해킹으로 대규모 고객 개인정보 유출 사고가 벌어진 여행사 ‘모두투어’에 대해 7억5000만원의 과징금이 부과됐다.

개인정보보호위원회는 지난 12일 전체회의를 열고 개인정보 보호법규를 위반한 모두투어네트워크에 대해 과징금 7억4700만원·과태료 1020만원과 개인정보 보호 관리체계 개선 권고 처분 등을 의결했다고 13일 밝혔다.

개인정보위 조사 결과 지난해 6월 신원미상의 해커는 모두투어네트워크가 운영하는 웹페이지에 파일 업로드 취약점을 이용해 다수의 웹셸 파일을 올렸다. 웹셸 공격은 웹페이지 파일 업로드 과정에서 취약점을 파고들어 악성코드를 심고, 관리자 권한을 얻어내 개인정보를 빼돌리는 기법이다.

해커는 파일에 심어둔 악성코드를 실행해 고객 정보 데이터베이스(DB)에서 회원·비회원 306만여명의 개인정보를 탈취했다. 여기엔 고객 한글·영문 이름, 생년월일, 성별, 휴대전화번호 등이 담겨 있었다.

모두투어네트워크는 해커의 웹셸 공격을 예방하기 위해 업로드된 파일에 대한 파일 확장자 검증 및 실행권한 제한 등 보안 취약점을 점검해야 했으나 이를 소홀히 했다. 개인정보 유출 시도를 탐지·대응하기 위한 접근통제 조치도 미흡했던 것으로 밝혀졌다.

2013년 3월부터 수집해온 비회원 316만여건(중복 포함)의 개인정보를 보유기간이 지났음에도 파기하지 않아 대규모 유출을 야기했다. 지난해 7월 개인정보 유출 사실을 인지했지만, 정당한 사유 없이 2개월이 지나서야 이를 통지한 사실도 드러났다.

개인정보위는 웹셸 공격이 잘 알려진 공격이지만, 데이터베이스 접근에 따라 피해가 커질 수 있기 때문에 사전 주의와 예방이 필요하다고 밝혔다. 아울러 대규모로 개인정보를 다루는 사업자는 수집한 개인정보가 불필요하게 되었을 때는 이를 지체없이 파기해 혹시 모를 개인정보 유출사고 피해 규모를 최소화해야 한다고 덧붙였다.