카페24, 엔에이치엔커머스 등 상위 4개사 대상으로 조사
해당 솔루션 이용하는 140만여 개 온라인쇼핑몰 개선 효과 기대

[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)가 쇼핑몰 솔루션 제공사업자에 대한 조사 결과를 발표했다. 이번 조사는 코로나19 이후 온라인 상거래 시장이 급성장하면서 쇼핑몰 솔루션을 이용한 온라인 쇼핑몰 수가 폭발적으로 증가했고, 쇼핑몰 솔루션의 취약점을 악용한 개인정보 유출 사고 또한 지속적으로 발생함에 따라 조사에 착수했다.


개인정보위는 쇼핑몰 솔루션 제공사업자의 시장점유율 및 관련 매출액 등을 종합적으로 고려해 선정한 상위 4개 제공사업자(이하 ‘사업자’) △카페24 △커넥트웨이브(메이크샵·마이소호) △아임웹 △엔에이치엔커머스(고도몰·샵바이)에 대해 26일 진행된 전체회의에서 총 1,200만 원 과태료 부과를 결정하고 시정조치 명령과 함께 개선을 권고했다.

조사 결과에 따르면, 사업자는 솔루션을 이용해 쇼핑몰을 운영하는 이용사업자와 리셀러의 개인정보를 처리하면서 개인정보처리시스템에 대한 접근통제, 접속기록 관리, 전송정보 암호화 등 안전조치 의무를 일부 소홀히 한 것이 확인됐다.

구체적인 위반내용으로 일부 사업자들은 ①개인정보취급자 계정에 대해 비밀번호 작성규칙을 적용하지 않았고 ②개인정보취급자의 접속기록을 1년 이상 보관하지 않았으며 ③개인정보(주민등록번호·계좌번호) 저장시 암호화하지 않았고 ④이용자의 개인정보 송·수신 시 전송구간을 암호화하지 않는 등 안전성 확보조치를 미흡하게 했다.


또한, 일부 사업자가 이용 여부 불확실에도 불구하고 미리 포괄적으로 리셀러의 주민등록번호 등을 수집한 행위에 대해 해당 개인정보의 이용이 필요한 시점에서 수집하도록 개선권고했다.

추가적으로 사업자가 제공하는 쇼핑몰 솔루션의 기능 미흡도 확인됐다. 이용자의 동의 방법, 법정대리인 동의 확인, 개인정보 처리방침 관리 등 이용사업자가 쇼핑몰을 운영하면서 개인정보 보호법 준수를 위해 필요한 기능이 일부 미흡했고, 접근통제, 접속기록 관리 등 안전조치 의무 관련 기능도 일부 미흡했다.

쇼핑몰 솔루션을 이용하는 이용사업자(판매자)는 쇼핑몰 솔루션의 기능을 확인해 보호법을 준수할 수 있는 제품을 선택해야 하며, 사업자는 이용사업자가 보호법규를 준수할 수 있는 기능을 갖춘 쇼핑몰 솔루션 서비스를 제공해야 한다.


이에 따라 접속기록을 보존·관리할 수 있는 기능과 중요사항 표시 및 법정대리인 동의 확인 등의 기능을 강화하도록 시정명령 또는 개선권고했다.

개인정보위는 “이번 쇼핑몰 솔루션 조사와 처분을 통해 비대면·온라인화로 확산되고 있는 온라인 쇼핑몰의 개인정보 보호조치 강화와 쇼핑몰을 이용하는 이용자의 개인정보가 보다 안전하게 처리될 수 있는 환경이 조성될 것으로 기대한다”고 전했다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>