2만 8,734명 회원의 주민번호 등 총 10가지 정보 인터넷상 노출_
베어트리파크 측 “홈페이지 리뉴얼 과정에서 발생...조치완료”_
유출 사실 즉시 신고 및 고지하고, 유출 회원들에게 통보해야

[보안뉴스 민세아] 세종시 소재 수목원 베어트리파크 회원의 개인정보 2만 8천여 건이 인터넷상에 무방비로 노출돼 누구나 열람 가능했던 사실이 드러났다.  

베어트리파크 회원들의 개인정보는 암호화되지 않은 파일 형태로, 개인 아이디나 비밀번호 등 특정 영문단어 검색만으로도 온라인에서 쉽게 다운받을 수 있었다.

이 파일에는 2009년부터 지난 2014년 11월까지 가입한 이용자의 이름, 아이디, 비밀번호, 주민등록번호, 우편번호, 주소, 전화번호, 휴대폰번호, 이메일, 가입일 등 개인에 대한 모든 정보가 기재되어 있다. 이에 베어트리파크 측은 개인정보 유출사실을 정부당국에 즉시 신고하고,  이 사실을 회원들에게 이메일이나 유선 등으로 통보해야 할 것으로 보인다.    

개인정보보호법 제24조에 따르면 개인정보처리자가 고유식별번호를 처리하는 경우 그 고유식별번호가 분실·도난·유출·변조 또는 훼손되지 않도록 암호화 등 안전성 확보에 필요한 조치를 취해야 한다.

또한, 지난해 8월 7일 시행된 개정 개인정보보호법에 따르면 보유 중인 주민등록번호를 모두 2016년 8월 6일까지 폐기 또는 생년월일 및 아이핀(i-PIN)으로 대체해야 하며, 오프라인의 경우 마이핀(My-PIN)으로 대체해야 한다.

그러나 베어트리파크의 경우 고객의 민감한 정보를 암호화하지 않은 채 보관했을 뿐만 아니라 고객정보 파일에 대한 접근관리도 부실했던 것으로 보인다. 이와 관련 베어트리파크 측은 “취약한 홈페이지의 보안 강화를 위한 리뉴얼 과정에서 발생한 문제”라며, “지금은 신속하게 조치를 완료한 상태로, 앞으로 보안에 최선을 다할 것”이라고 전했다.

이를 제보한 기업 전산보안 관련 종사자인 이경근 씨는 “최근 개인정보보호법이 강화되고 있는 추세에서 고객정보를 수집하는 기업은 고객정보 관리에 좀더 만전을 기해야 할 것”이라고 전했다.

한편, 지난해 행정자치부와 개인정보보호위원회가 발표한 ‘2014년 개인정보보호 실태조사 보고서’에 따르면 민간기업과 국가기관·지방자치단체에서의 주민등록번호 암호화 미실시율이 49.3%에 이르는 것으로 집계되는 등 개인정보보호 의식이 여전히 미흡한 것으로 드러났다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>