개인정보보호위원회(이하 ‘개인정보위’)는 10월 25일 전체회의를 열고 개인정보보호 법규를 위반한 싱가포르 소재 온라인 간편결제 서비스 제공자, PayPal Pte. Ltd.(이하 ‘페이팔’, 한국을 포함한 다수 지역에 서비스 제공)에 대해 9억 600만 원의 과징금과 1,620만 원의 과태료를 부과하기로 의결하였다.

개인정보위는 지난 ’21년 12월 페이팔이 ①송금 기능 해킹 및 ②내부직원 전자우편 사기(이메일 피싱)로 한국 이용자의 개인정보가 유출되었다고 신고해옴에 따라 조사에 착수하였고, ’23년 1월 ③크리덴셜 스터핑 공격*으로 개인정보가 유출되었다고 추가로 신고를 하여 총 3건의 유출 사고를 함께 조사하였다.

* 크리덴셜 스터핑 공격 : 사전에 확보한 다수의 아이디(ID)와 비밀번호 정보를 무작위로 대입하여 접속(로그인)을 시도하는 공격 방식

조사 결과, 페이팔이 「개인정보 보호법」(이하 ‘보호법’)을 위반하여 안전조치 의무를 소홀히 하고, 유출 통지?신고를 지연한 사실을 확인하였다.

먼저 ①송금 기능 해킹으로 22,067명의 이름, 국가 코드, 프로필 사진이 유출되었고, ③크리덴셜 스터핑 공격으로 336명의 이름, 생년월일, 주소, 핸드폰 번호가 유출되었으나, 이와 관련하여 특정 아이피(IP)에서 반복적으로 접근해 개인정보가 유출되었음에도 이를 미리 탐지?차단하지 못하는 등 개인정보 처리시스템에 대한 침입 차단 및 침입 탐지시스템 운영을 소홀히 한 것으로 나타났다.

그러나 ②내부직원 전자우편 사기(이메일 피싱)으로 가맹점주 등 1,186명의 이름, 업무용 전자우편?전화번호?주소가 유출된 것은 안전조치의무 소홀보다 특정 직원의 대처가 소홀했기 때문인 것으로 파악하였다.

아울러 총 3건의 개인정보 유출 사고와 관련하여 통지 및 신고를 지연한 사실도 함께 확인하였다.

페이팔측은 개인정보 유출 방지 등을 위한 자사의 다양한 보호조치를 설명하면서 다수 정보보호 관련 인증 취득, 정보보호 관련 국제 보안 표준 마련에 기여하는 등 개인정보 보호를 위한 노력을 펼쳤다고 주장하였다.

※ NIST 사이버보안 프레임워크에 기반한 여러 절차 및 조치와 ISO 27001, PCI-DSS, PCI-P2PE, PCI PIN, SOC-1/ISAE 3402 및 SOC-2/ISAE 3402 등 인증 취득,PCI 및 FIDO 등 결제 및 로그인에 관한 국제 보안 표준마련에 기여를 설명함

그러나 위원회는 전 세계에 서비스를 제공하는 글로벌 기업으로 안전조치를 강화할 필요가 있고, 송금 기능 해킹 및 크리덴셜 스터핑 공격 관련 조치사항 등을 종합적으로 고려하였을 때, 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 충분히 했다고 하기 어렵다고 판단하였다.

이번 조치는 국외에 존재하는 글로벌 사업자에 대해 우리 보호법상 안전조치 의무를 적용하여 위반행위에 대해 처분한 건으로, 해외사업자가 국외에서 한국 이용자의 개인정보를 처리하는 경우라도 우리 보호법에 맞는 충분한 조치를 다 할 필요가 있다는 것을 다시 한번 환기시키는 계기가 될 것으로 보인다.