세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
3,300만 건 개인정보 해킹사건, 유출기업 공지 늦어지는 이유
  |  입력 : 2017-08-09 16:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
20여개 피해기업 중 5개 사만 홈페이지에 유출사실 공지
유출기업들 개인정보 유출사실 확인 미루면서 수사 진행 더뎌
과태료 3,000만원 처분 가능성...2차 피해 최소화 위해 신속히 공지해야


[보안뉴스 원병철 기자] 지난 7월 30일 본지에서 보도했던 개인정보 3,300만 건 유출사건의 수사가 유출기업들의 비협조로 어려움을 겪고 있는 것으로 알려졌다. 당시 약 20여개의 업체가 해킹당해 약 3,300만 건의 개인정보가 유출된 것으로 알려졌지만, 사건을 수사한지 한 달여가 지났음에도, 지금까지 5개 남짓한 기업만 유출 사실을 인정하고 홈페이지에 공개한 것이다.

▲ 개인정보 유출사실을 공지한 탐앤탐스[이미지=홈페이지 캡처]


인천지방경찰청 사이버수사대가 사건을 수사하기 시작한 것은 지난 6월, 피의자인 송모 씨를 체포하고, 송모 씨의 노트북에서 20여개 기업에서 유출된 약 3,300만 건의 개인정보를 확인하면서부터다. 송모 씨는 유진투자선물만 중국인 해커 등을 고용해 직접 해킹했고, 나머지 기업의 개인정보는 중국 판매책으로부터 구입한 것이라고 자백했다.

송모 씨의 자백과 유출 자료를 바탕으로 유출기업을 확인한 결과 유진투자선물과 디비피아, 그리고 커피전문점 탐앤탐스의 고객 개인정보가 유출된 것을 확인했고, 해당 기업들은 개인정보 보호지침 제26조(개인정보의 유출)에 따라 홈페이지와 개인정보 주체에게 그 사실을 공지했다.

그런데 해당 기업들과 지난 2013년에 이미 공지했던 2개 기업을 포함한 5개 기업은 개인정보 유출 사실을 공지했지만, 나머지 업체들은 애매모호한 태도로 개인정보 유출 사실을 인정하지도, 안하지도 않고 있다고 수사 중인 인천청 사이버수사대 관계자는 밝혔다.

개인정보보호법 제34조에 따르면 개인정보처리자는 개인정보가 유출된 사실을 인지했을 경우 지체 없이 해당 정보 주체에게 △유출된 개인정보의 항목 △유출된 시점과 그 경위 △유출로 인해 발생할 수 있는 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등에 관한 정보 △개인정보처리자의 대응조치 및 피해주제 절차 △정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 등을 통지해야 한다.

특히, 유출사실의 통지는 유출 확인 후 5일 이내에 해야 하는데, 이번 사건의 경우 해당 기업들이 실제 고객정보가 유출됐다면, 이를 확인한 날짜가 중요해진다. 5일을 넘겼을 경우 최대 3,000만 원 이하의 과태료 처분을 받을 수도 있기 때문이다.

물론 아직 수사 중인 사건으로, 유출 정보가 회사가 보유한 고객정보와 100% 일치하는지 확인해야 한다는 입장도 이해되지만, 이번 사건이 개인정보 유출 규모 가운데서도 손꼽히는 피해규모인 만큼 피해고객들을 위해 수사에 적극 협조하는 자세가 필요하다.

아울러 최대 3,000만 원 이하의 과태료는 고객정보 유출사실을 공개했을 때 입게 될 유무형의 피해와 비교했을 때 별다른 차이가 없어 실질적인 수준의 금액으로 상향 조정할 필요가 있다는 지적도 나오고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)