Home > 전체기사
독일의 첫 GDPR 위반 사례, 비교적 훈훈하게 결론나다
  |  입력 : 2018-11-28 13:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
독일 채팅 앱인 크누델스, 사용자 정보 암호화 하지 않아
사건 인정하고 투명하게 공개...2만 달러 벌금에 그쳐


[보안뉴스 문가용 기자] 독일에서 첫 번째 GDPR 위반 사례가 나왔다. 독일의 채팅 앱인 크누델스(Knuddels)에서 해커가 수만 명의 사용자 정보를 훔쳐간 사건이 터진 이후였다. 문제는 크누델스 측이 고객의 정보를 암호화시키지 않았다는 것으로, 독일의 바덴뷔르템베르크 정보보호위원회가 2만 유로의 벌금형을 내렸다.

[이미지 = iclickart]


이 사건으로 해커들은 약 33만 개의 크리덴셜을 가져갔고, 이를 2018년 9월 페이스트빈(Pastebin)과 메가(Mega)를 통해 전부 공개했다. 하지만 보안 전문가들은 실제 해커가 가져간 건 33만 개 크리덴셜 이상일 것이라고 보고 있다. 한 보도에 의하면 80만 개의 이메일 주소와 180만 개가 넘는 비밀번호가 해커들의 손에 넘어갔을 가능성이 높다고 한다.

이렇게 정보가 도난당하고 공개되는 과정에서 크누델스가 사용자의 민감한 정보를 암호화시키지 않았다는 것이 드러났다. 이는 GDPR 규정에서 반드시 지켜야 하는 부분이다. 이에 각종 비판이 일어났는데, 크누델스 측은 이를 숨기거나 변명하지 않고 빠르고 투명하게 인정했다. 그 때문에 벌금이 2만 유로로 그쳤을 가능성이 높다.

바덴뷔르템베르크 정보위원회는 “회사(크누델스)는 지난 수주 동안 IT 보안 강화를 위해 많은 투자를 감행했고, 사용자 데이터에 대한 최신화도 성공적으로 해냈다”며 “여기에 그치지 않고 추가적인 보안 시스템 구축을 이어가 바덴뷔르템베르크 정보위원회가 요구하는 수준에 맞출 것”이라고 발표했다.

“크누델스 측은 열린 태도로 정보위원회의 요구에 응했으며 적극 협조하는 모습을 보였습니다. 또한 과실을 숨기려 하거나 덮지 않고 투명하게 공개하고 인정했습니다. 이를 통해 위원회는 이들이 앞으로 보안을 강화하겠다는 약속을 허투루 하지 않는다는 걸 알 수 있었습니다. 결국 GDPR이나 정보보호법의 목적은 벌금을 많이 걷는 게 아니라, 소비자 정보 보호에 있다는 것을 다시 한 번 상기할 수 있는 기회였습니다.”

이 사건으로 보안 업계에서는 “기업 내 새롭게 임명된 DPO(데이터 보호 책임자)들이 GDPR 위반 시 어떤 식으로 데이터 보호 관련 기관을 대해야 하는지에 대한 선례가 수립됐다”는 말이 돌기 시작했다. 그러면서 “GDPR 관련 정부 기관이 무시무시한 벌금으로 본때를 보여주는 것보다, 실질적인 정보보호 문화 확산에 더 초점을 맞추고 있다는 것”을 깨닫기 시작한 분위기다.

바덴뷔르템베르크의 정보 보호 위원장인 스테판 브링크(Stefan Brink)는 “사고로부터 배우려고 하고, 데이터 보호를 위해 투명하게 노력하는 기업은 실제 해커들보다 앞서나갈 확률이 높다”고 설명한다. “바덴뷔르템베르크 위원회는 다른 유럽 국가와 ‘누가 벌금 더 많이 걷나’ 경쟁을 벌이고 싶지 않습니다. 그런 데에는 관심이 조금도 없어요. 결국 중요한 건 데이터가 보호되고, 해커의 삶이 어려워지게 되는 것이니까요.”

3줄 요약
1. 독일에서 첫 GDPR 위반 사례 나왔는데, 벌금은 2만 유로에 불과.
2. 위반한 기업인 크누델스가 투명하게 사건을 공개하고 빠르게 추가 조치를 마련했기 때문.
3. “GDPR의 진정한 목적은 벌금 걷기가 아니라 데이터 보호 문화 확산”이 확인됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)