산업

우영우로 본 개인정보 유출…실제론 어땠나

[머니S리포트- 줄줄 새는 개인정보…어떻게 해야 하나]② 인터파크, 2016년 고객 개인정보 유출 피해

송은정 기자VIEW 10,9182022.09.30 06:40
0

글자크기

정보기술(IT)은 우리 삶의 일부분이 됐다. 금융, 배송, 통신 등 일상생활 전반에 영향을 미치면서 생활의 편리함을 가져다줬다. 하지만 IT 발전에 맞춰 해킹 기술도 덩달아 진일보했다. 최근 스팸과 피싱 등 사이버 범죄가 더욱 기승을 부리는 가운데 피해 사례도 늘고 있다. 기업들은 고객정보를 활용한 '마이데이터' 사업으로 돈을 벌고 있다. 개인 신용정보를 한 곳에 모으는 사업인 만큼 개인정보 유출 피해가 커질 수 있다는 우려가 나온다. 피해를 예방하고 내 정보가 유출됐을 때 어떻게 대처할지 알아본다.
이상한 변호사 우영우 스틸사진 /사진제공=ENA
이상한 변호사 우영우 스틸사진 /사진제공=ENA
AD
◆기사 게재 순서

①나도 모르게 새버린 개인정보…대처법은

②우영우로 본 개인정보 유출…실제론 어땠나

③기업, 고객 정보로 돈 번다…마이데이터 사업 문제 없을까

최근 종영한 드라마 '이상한 변호사 우영우' 15화에서는 쇼핑몰 개인 정보 유출 사건을 다뤘다. 드라마 속 라온의 개인정보 유출 사건은 2016년 2540만명의 개인정보가 유출된 인터파크 사건이 모티브가 됐다. 드라마와 달리 실제로는 업체의 '늑장 대응'이 사회적인 문제가 됐다는 사실과 방송통신위원회가 승소한 점에서 차이가 있다.

실제 사건에서는 무슨 일이?
2016년 인터파크는 2540만명의 고객 개인정보가 유출되는 피해를 입었다. 보안 조치 미비 등의 사유로 방통위로부터 역대 최대 규모의 과징금 처분을 받았다. 인터파크가 방통위로부터 부과받은 과징금은 44억8000만원이었다.

인터파크는 방통위의 과징금 처분이 부당하다며 소송을 제기했다. 드라마와 마찬가지로 보안 조치와 해킹 사이에 인과관계가 있었는가, 방통위가 미비점으로 지적한 보안 조치를 했다면 해킹을 막을 수 있었느냐는 인과관계가 쟁점이 됐다.

방통위를 대리한 법무법인 민후는 인터파크에 대한 방통위의 처분이 타당함을 입증하며 승소했다. 항소심 재판부는 "2014년 정보통신망법 개정 이후에는 인과관계는 요구되지 않는다"고 판단했다.

인터파크는 상고했으나 대법원은 기각했다. 재판부는 법 조항상 인과관계와 무관하게 제재가 가능하다며 2심 재판부 역시 방통위의 손을 들어주었다. 대법원 역시 상고심에서 인터파크에 대한 방통위 처분이 정당함을 인정하는 판결을 내렸다.

당시 인터파크는 사고 발생 두 달 후에서야 해킹 사실을 인지하고 신고해 논란이 됐다. 개인정보 유출 인지 후 24시간 이내에 방통위에 신고해야 하지만, 인터파크는 제때 신고하지 않은 것이다. 인터파크가 경찰 신고 후 열흘 지난 시점에서 개인정보 유출 사실에 관한 사과문을 홈페이지에 올려 또다시 '늑장 대응' 논란이 불거지기도 했다.

구글·메타도 역대급 '과징금'


구글 /사진=로이터
구글 /사진=로이터
AD
최근 구글과 메타는 '무분별한 개인정보 수집'으로 인해 한국 정부로부터 과징금을 부과 받았다. 지난 9월 14일 개인정보보호위원회는 구글과 메타에 각각 692억원과 308억원의 과징금을 부과했다. 개인정보보호 법규 위반으로는 최대다. 개인정보가 수집된다는 사실을 이용자에게 명확하게 알리지 않거나 기본값을 '동의'로 설정한 것이 문제가 됐다. 당국에 따르면 구글과 메타는 개인정보 활용에 대한 내용을 교묘히 감춰 이용자들에게 각각 82%, 98%의 동의를 받은 것으로 조사됐다.

구글은 2016년부터 현재까지 약 6년간 서비스 가입 시 타사 행태정보 수집과 이용 사실을 명확히 알리지 않고, '옵션 더 보기' 화면을 가려둔 채 기본값을 '동의'로 설정하는 방법을 썼다.

메타는 2018년 7월 14일부터 현재까지 약 4년간 자사 서비스에 가입한 이용자의 타사 행태정보를 수집해 맞춤형 광고에 이용하면서 그 사실을 해당 이용자에게 명확하게 알리고 동의받지 않았다. 메타가 운영하는 페이스북은 계정 생성 시 한번에 다섯 줄밖에 보이지 않는 스크롤 화면에 행태정보 수집 관련 사항이 포함된 694줄짜리 데이터 정책 전문을 게재한 것 외에 별도로 법정 고지사항을 알리고 동의받지 않았다. 구글과 메타는 처분에 동의할 수 없다며 행정소송을 예고했다.

개인정보 유출 사고…해외는
(위에서부터)메타, 에퀴팩스(Equifax), 영국항공(British Airway) /사진=로이터
(위에서부터)메타, 에퀴팩스(Equifax), 영국항공(British Airway) /사진=로이터
AD
해외 사례는 어떨까? 2017년 무려 1억4800만명의 미국 성인들의 개인정보를 유출한 에퀴팩스(Equifax) 해킹 사건은 사이버 보안 역사상 최악의 사건 중 하나로 꼽힌다. 사건이 발생한 이후 조치도 최악 수준이었다. 침해 사고가 발생했다는 걸 알고 나서도, 이를 공표하는 데 6주의 시간이나 걸렸다. 또한 침해 사고와 관련된 기록과 데이터를 제대로 보존하지도 못했다. 에퀴팩스는 이 사고로 최소 5억7500만달러(약 8006억원)를 지불하게 됐다.

메리어트는 2018년 11월 해킹으로 인해 스타우드 계열 호텔의 예약 시스템에 있던 고객 정보가 유출되는 사건이 발생했다. 2014년부터 4년간에 걸쳐 총 고객 3억3900만명의 정보가 유출됐다. 초기 조사 결과 중국 정부와 연계된 해커들이 메리어트 호텔 해킹을 저지른 것으로 잠정 결론이 내려졌다. 이 사고로 메리어트 호텔은 9920만파운드( 약 1460억원)의 벌금을 물게 됐다.

영국항공에선 2018년 고객 50만명의 개인정보 유출 사건이 발생했다. 해커들이 영국 항공의 온라인 홈페이지와 모바일 애플리케이션(앱)에서 고객들의 정보를 빼간 것이다. 해커들은 24만4000명의 이름, 주소, 카드 및 보안코드(CVV) 번호에 접속했다. 해커들은 7만7000명의 카드와 CVV 번호 및 10만8000명의 카드 번호에도 접근했다. 영국항공은 사건 2달이 넘어서야 정보가 유출됐다는 사실을 확인했고 2000만파운드(약 290억원)의 벌금을 선고받았다.





상단으로 가기