외국계 숙박예약플랫폼 ‘호텔스컴바인’이 한국 고객 1,200명 이상의 이름과 카드정보가 유출되면서 개인정보보호위원회(이하 개인정보위)로부터 과징금 9,450만원, 과태료 1,600만원을 부과 받았다.

개인정보위는 지난 6월 26일 제11회 전체회의에서 이 같은 내용을 의결했다. 개인정보위에 따르면 호텔스컴바인은 시스템을 설계상 보안에 문제가 있었다. 기능상 ‘예약정보’에만 접근할 수 있는 계정의 권한이 ‘카드정보’ 조회까지 가능한 문제가 발생한 것이다.

이러한 보안상 문제점을 노린 해커는 피싱 수법으로 아이디와 비밀번호를 탈취해 호텔스컴바인 시스템에 접속한 뒤 카드정보에 접근할 수 있는 계정을 생성했다. 이 때문에 지난 2019년 당시 한국인 1,246명의 이름, 이메일 주소, 호텔 예약정보, 카드정보 등이 유출됐다.

특히 유출 당시 개인정보보호법은 개인정보 유출을 알게 된 후 24시간 이내에 개인정보위에 신고하고 이용자에게도 그 사실을 통지하도록 규정하고 있었다. 그러나 호텔스컴바인은 이 기한을 넘겨 ‘늑장 신고 및 통지’한 사실까지 확인됨에 따라 과징금에 더해 과태료도 부과됐다.

이에 호텔컴바인은 한국 정부기관으로부터 과징금과 과태료를 포함해 약 1억1,000만원의 제재를 받게 됐다.