개인정보보호위원회는 상조 서비스 주요 사업자를 대상으로 개인정보 처리 사전 실태점검을 실시한 결과 보안 취약점 조치 미흡, 장기 미사용 계정 관리 소홀 등 미흡사항을 발견하고 시정을 권고하기로 했다.
25일 개인정보위에 따르면, 위원회는 전날 제12회 전체회의에서 이 같은 내용을 심의·의결했다.
최근 보람상조그룹과 교원라이프 등 상조업계에서 개인정보 유출 사고가 연이어 발생하자, 개인정보위는 선수금 규모 등을 고려해 상조 분야 주요 사업자 3개사를 선정해 실태 점검에 착수했다.
상조 서비스는 성명, 전화번호, 종교 등 다양한 개인정보가 처리되며, 장기간 회원 정보를 보유하는 특성이 있어 체계적인 개인정보 보호조치가 요구된다는 게 개인정보위 설명이다.
그런데 점검 결과, 일부 사업자에서 안전조치 미흡 사례가 확인됐다. 보안 취약점 점검 후 발견된 취약점을 적시에 조치하지 않거나, 장기간 미사용 계정의 접근권한을 회수하지 않는 등 접근 권한 관리도 미흡했다. 접속기록 보관 시 필수 항목인 정보주체 정보를 포함하지 않은 사례도 확인됐다.
또한 보관기간이 경과한 개인정보를 파기하지 않거나 분리보관 의무를 준수하지 않은 사례도 있었다. 상조 서비스 해지 후 보유기간이 지난 개인정보를 계속 보관하거나, 별도 분리보관 없이 운영 데이터베이스에 저장· 관리하는 사례가 있었다.
개인정보 처리업무를 위탁받은 수탁자 중 일부에 대해 점검 및 교육을 실시하지 않는 등 수탁자 관리·감독이 미흡한 사례도 확인됐다.
이에 대해 개인정보위는 해당 사업자에시정권고를 하기로 의결했다. 또 내부 데이터베이스 서버 접근통제 미흡, 개인정보 전송 구간 암호화 미적용 등 문제에 대해 개선·조치했다.
개인정보위 관계자는 "국민 생활과 밀접한 분야를 중심으로 사전 실태점검을 지속적으로 확대해 개인정보 침해 위험요인을 선제적으로 발굴·개선해 나갈 방침"이라고 밝혔다.