개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)가 쇼핑몰솔루션 제공사업자에 대한 조사 결과를 발표하였다. 

이번 조사는 코로나19 이후 온라인 상거래 시장이 급성장하면서 쇼핑몰솔루션을 이용한 온라인쇼핑몰 수가 폭발적으로 증가하였고, 쇼핑몰솔루션의 취약점을 악용한 개인정보 유출 사고 또한 지속적으로 발생하여 조사에 착수하였다.

개인정보위는 쇼핑몰솔루션 제공사업자의 시장점유율 및 관련 매출액 등을 종합적으로 고려하여 선정한 상위 4개 제공사업자(이하 ‘사업자’) ▲카페24㈜(카페24), ▲㈜커넥트웨이브(메이크샵/마이소호), ▲㈜아임웹(아임웹), ▲엔에이치엔커머스㈜(고도몰/샵바이)에 대해 총 1,200만 원 과태료 부과, 시정조치 명령, 개선권고 등을 7월 26일 전체회의에서 심의·의결하였다.

조사 결과, 사업자는 솔루션을 이용해 쇼핑몰을 운영하는 이용사업자와 리셀러의 개인정보를 처리하면서 개인정보처리시스템에 대한 접근통제, 접속기록 관리, 전송정보 암호화 등 안전조치 의무를 일부 소홀히 한 것으로 확인되었다.

구체적인 위반내용을 살펴보면, 일부 사업자들은 ①개인정보취급자 계정에 대해 비밀번호 작성규칙을 적용하지 않았고, ②개인정보취급자의 접속기록을 1년 이상 보관하지 않았으며, ③개인정보(주민등록번호, 계좌번호)를 저장시 암호화하지 않았고, ④이용자의 개인정보 송·수신 시 전송구간을 암호화하지 않는 등 안전성 확보조치를 미흡하게 하였다.

또한, 일부 사업자가 이용 여부의 불확실에도 불구하고 미리 포괄적으로 리셀러의 주민등록번호 등을 수집한 행위에 대하여 해당 개인정보의 이용이 필요한 시점에서 수집하도록 개선권고 하였다.

사업자가 제공하는 쇼핑몰솔루션의 기능 미흡도 확인되었다. 이용자의 동의 방법, 법정대리인 동의 확인, 개인정보 처리방침 관리 등 이용사업자가 쇼핑몰을 운영하면서 개인정보 보호법을 준수하기 위해 필요한 기능이 일부 미흡했고, 접근통제, 접속기록 관리 등 안전조치 의무 관련 기능도 일부 미흡하였다.

쇼핑몰솔루션을 이용하는 이용사업자(판매자)는 쇼핑몰솔루션의 기능을 확인하여 보호법을 준수할 수 있는 제품을 선택해야 하며, 사업자는 이용사업자가 보호법규를 준수할 수 있는 기능을 갖춘 쇼핑몰솔루션 서비스를 제공하여야 한다.

이에 따라, 접속기록을 보존·관리할 수 있는 기능, 중요사항 표시 및 법정대리인 동의 확인 등의 기능을 강화하도록 시정명령 또는 개선권고 하였다.

개인정보위 측은 “이번 쇼핑몰솔루션의 조사와 처분을 통해 비대면․온라인화로 확산되고 있는 온라인쇼핑몰의 개인정보 보호조치가 강화되고 쇼핑몰을 이용하는 이용자의 개인정보가 보다 안전하게 처리될 수 있는 환경이 조성될 것으로 기대한다”고 밝혔다. 

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★