[티티엘뉴스] 2017년 9월 일어난 하나투어 고객정보 대규모 유출사건에 대해 1월 6일 하나투어(법인)와 당시 정보보호최고책임자 김모씨 (CISO)에게 정보통신망법 위반 혐의로 각각 벌금 1,000만원이 선고됐다. 법원은 고의성이 없었다하더라도 개인정보 보호 조치에 소홀에 법적 책임이 있다고 판단했다. 해당 선고에 하나투어는 판결에 항소를 하겠다고 밝혔다.

해당 사건은 2017년 9월 원격제어 악성 프로그램을 유포하는 해커가 외부업체 직원 개인 노트북과 보안망 PC에 침입해, 하나투어 고객정보 46만건(여행예약 내역, 이메일, 전화번호, 주소, 여권번호 )과 임직원 개인정보 3만건 등이 유출된 바 있다. 이 사건을 저지른 해커의 인적사항은 파악되지 않아 기소가 중지되었다. 해커는 하나투어 측에 6억원을 지급하지 않으면 개인정보를 유출하겠다는 협박을 한 것으로 알려졌다.

해당 판결에 대해 하나투어의 입장은 주요 시스템에 대한 접근제어 강화를 위해 신규 접근통제 솔루션을 도입, 기존 접근통제 시스템들을 고도화, 악성파일 탐지 및 APT 공격차단을 위한 시스템을 도입, 데이터 유출 방지를 위한 고도화 사업을 진행 등 기술적 조치에 최선을 다했다는 입장이다. 또한, 임직원의 효과적인 보안 인식제고를 위해 매월 '정보보호의 날'을 지정 보안캠페인을 진행하고 악성메일 모의훈련을 년 2회 진행하는 등 관리적으로도 업계 최고의 보안수준을 유지하고 있다고 전했다.

그러나 검찰은 이 사건을 기소하면서 "외부에서 개인정보처리 시스템에 접속할 때 아이디나 비밀번호 이외에 일회용 비밀번호 생성기(OTP)·인증서·보안토큰 등 인증수단을 추가로 거치도록 조치해야 함에도 이를 지키지 않았다"고 설명했다. 또 시스템 접속이 가능한 관리자 권한의 아이디와 패스워드가 암호화되지 않은 형태로 외주업체 직원의 개인 노트북 등에 메모장 파일 형태로 노출돼 있었던 점도 지적한바 있다.

하나투어는 벌금 선고 이외에도 고객 개인정보 유출로 인해 2018년 2월 행정안전부로부터 과징금 3억2000여만원과 과태료 1800만원을 부과받기도 했다. 하나투어는 해당 개인정보 유출사고는 보안조치가 부족해서가 아닌 외부업체 직원의 상식 밖의 일탈행위에서 발생한 사고인 점을 감안하면 이번 판결이 과한 처분이라는 입장이다.
 

조일상 하나투어 홍보팀장은 "이번 판결에 대해 법무법인과 함께 항소를 준비 중"이라고 말하며, "고객이 더욱 안심할 수 있는 보안대책을 강구하고 앞으로도 최고 수준의 보안조치를 위해 최선을 다하겠다"고 밝혔다.

IT 보안 관계자는 "2017년에 일어난 하나투어 해킹 사건은 보안의 기본을 지키지 않아 생긴 것"이라 말하며,  " 원격접속 아이디와 패스워드가 털려 생긴 일로 추가인증 시스템을 구축했으면 막을 수 있었던 일로, 대부분의 경우처럼 외부 직원이 추가인증 등의 보안을 소홀하게 생각한 탓" 이라고 말했다.   

권기정 기자 john@ttlnews.com