미국·영국·일본 등 선진국, 유출사고 시 어떻게 처벌하나?
막대한 배상금 부과와 엄중한 처벌...우리나라와 달라
[보안뉴스 민세아] 최근 발표된 2014년 1사분기 전 세계 데이터 유출·침해 통계보고서에 따르면 우리나라가 가장 많은 데이터 유출 국가로 조사됐다. 올해 1분기만 해도 자그마치 1억 5천만건의 개인정보가 유출된 것. 우리나라 인구가 4천9백만여 명이니 1인당 3번 꼴로 털린 셈이다.
그러나 우리나라의 경우 개인정보 유출 기업과 정부 차원에서의 대응이 미흡하다. 특히 유출 기업에 대한 솜방망이 처벌로 국민들의 공분을 사고 있다. 그렇다면 외국은 유출사고에 어떻게 대응할까? 이에 본지에서는 테크앤로 법률사무소 구태언 대표변호사의 도움을 받아 해외기업의 개인정보 유출시 제재사례를 분석해봤다.
Case 1. Target
[미국, 2013년, 4,000만 건]
미국의 대형유통업체 타겟(Target)은 지난해 11월 27일부터 POS 시스템이 해킹당해 고객의 신용·직불카드 정보 4000만건이 유출된 바 있다. 유출된 정보는 고객의 이름, 신용카드 및 직불카드번호, 유효기간, CVC값이다. 뿐만 아니라 지난 1월 10일 7000만명의 개인정보 유출사실을 추가적으로 발표했다. 유출된 카드정보와 개인정보를 합치면 약 1억 1000건의 유출사고가 발생한 것이다.
현재까지 당국의 제재 결과는 발표되지 않았으나, 미국의 재무관리 업체 ‘슈퍼머니’ 등 에서는 타겟이 지급해야 할 과징금이 건당 최대 90달러, 총 합계 36억 달러(한화 약 3조 8천억 원)이 넘을 것으로 예상하고 있다.
그렇다면 타겟은 유출사고에 어떻게 대처했을까. 이들은 유출 사실을 인지한 후 즉각적으로 고객에게 알리고 웹사이트에 공지했다. 뿐만 아니라 당국 및 금융기관에 이를 통보했다. 또한 모든 고객을 위해 1년간 무료 신용 모니터링 서비스를 제공하고 신원정보 도용 방지 프로그램을 무료로 제공키로 했다.
미국 JP모건은행은 타겟 사건으로 피해를 받은 고객들을 대상으로 200만개의 신용·직불카드를 교체하겠다고 밝혔다. 시티은행, 뱅크오브아메리카, 웰스파고은행 역시 해킹 공격을 당한 모든 고객의 직불카드를 교체해 주겠다고 밝혔다. 교체비용은 금융회사가 모두 부담했다.
또한 이번 개인정보 유출사고에 무거운 책임을 느낀 그렉 스타인하펠(Gregg Steinhafel) CEO는 지난 5월 5일 CEO와 회장직에서 물러났다.
Case 2. Softbank
[일본, 2004, 800만 건]
일본의 통신사 소프트뱅크는 지난 2004년 자사가 운영하는 야후BB의 이용자 800만 명의 정보를 외부 해커에게 유출당했다.
다행히 해커가 이용자 정보를 다른 곳에 팔아넘기기 전에 검거되어 2차 피해는 없었지만, 일본 최고재판소는 고객에게 약 40억 엔(한화 약 407억 원)을 배상하라고 판결했다.
일본은 이미 2003년부터 ‘개인정보보호에 관한 법률’을 제정해 개인정보 유출사고에 미리 대처하는 모습을 보였다. 이에 비해 우리나라에서는 2011년 ‘개인정보보호법’이 제정됐다.
일본의 ‘개인정보보호에 관한 법률’에 따르면 개인정보 유출 시 수천만엔에 달하는 과징금을 부과해야 할 정도로 엄격한 제재를 가한다. 때문에 중소기업 및 영세기업의 경우 개인정보가 유출되면 망한다는 인식이 널리 퍼져 있다.
Case 3. Sony
[영국, 2011, 7,700만 건]
소니는 지난 2011년 4월 플레이스테이션 네트워크(PSN)에 해킹공격으로 7,700만 명 이상의 개인정보가 유출됐다. 유출된 정보는 이름, 주소, 이메일주소, 아이디, 비밀번호, 결제정보이며, 영국 정보보호위원회(ICO)는 이로 인해 2차 피해가 예상된다고 판단했다.
영국 정보보호위원회(ICO)는 소니의 PSN 해킹사고에 대하여 25만 파운드(한화 약 4억 2,000만 원)의 과징금을 부과했다.
Case 4. Choice Point
[미국, 2004, 14만 건]
미국의 소비자 신용정보기관인 초이스포인트는 지난 2004년 10월 경 시스템 취약성으로 인해 14만 명의 민감한 소비자 정보가 유출됐다.
유출된 정보는 소비자 성명, 사회보장번호, 생일, 고용정보, 신용이력 등이다. 유출 후 침해사고 사실을 피해자들에게 제대로 공개하거나 고지하지 않아 신용카드 위조 등의 금융사기 2차 범죄로 발전됐고, 약 800여명이 피해를 입었다.
이에 미국연방거래위원회(FTC)는 고객 정보보호를 소홀히 했다는 점을 들어 지난 2006년 1월 ‘보안실패 및 개인정보취급에 관한 소비자 권리침해’ 등을 이유로 1,000만 달러(한화 약 106억 원)의 과징금을 부과했다. 또한 고객에게 500만 달러(한화 약 53억 원) 상당의 벌금을 배상하라고 판결했다.
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
