[보안뉴스 강현주 기자] 예스24가 랜섬웨어 공격을 당한 이후 불성실한 소통으로 뭇매를 맞는 가운데, 고객 대상 공지 의무 강화 논의가 불붙고 있다. 특히 개인정보 유출 사실이 확정되기 전에는 고객에게 전혀 안내 하지 않아도 문제가 되지 않는 현행 제도를 강화할 필요성도 제기된다.
13일 정치권과 법조계 등에서는 사이버공격에 대한 기업의 고객 소통 책임 강화에 대한 논의가 활발하다.
▲예스24 로고 [자료: 예스24]
우왕좌왕 소통에 혼란 키워도 법적 문제 없어
SKT는 4월 유심 해킹 사고 후 고객들에게 빠르게 공지하지 않아 논란이 된 바 있다. 이어 예스24가 지난 9일 랜섬웨어 공격을 당한 후 뒤 늦은 고객 안내와 당국과의 엇박자 소통으로 공분을 샀다. 이에 따라 기업들의 불성실한 고객 공지 논란이 재점화됐다.
예스24는 9일 새벽 4시에 침해를 감지했다. 같은 날 오후 1시 한국인터넷진흥원(KISA)에, 11일 오전에는 개인정보보호위원회에 신고했다. 현행 법에 따른 신고 의무는 지연 없이 지켰다.
하지만 고객 안내 면에선 늑장 대응과 혼란스러운 소통에 비난이 일고 있다. 예스24는 KISA에 신고를 한 9일 오후 1시 이후에도 홈페이지에 ‘시스템 장애’라며 점검 중이라는 공지만 띄웠다. 랜섬웨어 공격을 명확히 인지하고 신고까지 한 후에도 고객들에게 안내하지 않은 것이다. 일부 언론 문의에도 침해 사실을 부정한 것으로 알려졌다. 최수진 국민의힘 의원이 예스24의 랜섬웨어 공격 사실을 알리는 보도자료를 낸 후에야 홈페이지를 통해 침해 사실을 공지했다.
이후 11일 오후에는 “KISA와 협력해 복구작업에 총력을 다하고 있다. 개인정보 유출은 발생하지 않았다”고 2차 입장문을 발표했다. 하지만 KISA는 “예스24는 기술지원에 협조하지 않았다”며 곧바로 반박문을 냈다.
이어 12일 다시 “향후 추가 조사 결과 개인정보 유출 확인 시 개별 연락드릴 예정”이라고 홈페이지에 공지했다. 개인정보위의 조사가 시작됨에 따라 유출이 발견될 수 있는 가능성을 시사한 셈이다.
이처럼 예스24가 연이어 소통에 혼선을 빚으면서 이용자 불안감이 커지고 있다. 2000만명에 달하는 이용자들이 예스24에서 도서와 전자책을 구매하고 공연 티켓 등을 예매한다. 이번 침해로 아이돌 엔화이픈의 팬사인회가 취소되고 배우 박보검의 팬미팅 응모 일정도 연기됐다.
현행법은 개인정보가 유출됐음을 알았을 때 72시간 내 정보 주체에게 통지하도록 돼 있다. 이에 따라 예스24가 랜섬웨어 사실을 인지하고도 고객들에게 안내를 하지 않은 점은 법적인 문제가 없다. 개인정보 유출 여부가 확인되지 않은 상태였기 때문이다.
법조계 전문가들에 따르면 예스24가 일부 언론에 침해 사실을 부정하고, “KISA와 협조 중”이라며 사실과 다른 내용을 발표했어도 법적 제재 사유가 되긴 어렵다.
“유출 전 잠재 위험 공지 바람직...기업 부담도 감안해야”
이에 따라 사이버공격에 대한 공지 제도를 강화해야 한다는 목소리가 나온다. 특히 이번 예스24 사태 이후 개인정보 유출 확인 전이라 해도 잠재 위험에 대비한다는 면에서 침해 사실을 투명하게 공개하도록 해야 한다는 지적도 나온다.
앞서 이재명 정부는 대선 기간 중 ‘개인정보 유출로 인한 중대 피해 예상시 전국민 대상 즉시 공지 의무화’를 공약에 포함했다. 공약이라 구체적 방향은 미정이지만, 피해 ‘예상 시’와 ‘즉시’라는 표현은 현행 법을 강화하겠다는 의도다. 현행법은 유출이 ‘확인’된 경우로 한정해 ‘72시간 내’ 공지로 규정하고 있기 때문이다.
이에 대해 법조계 한 전문가는 “침해 발생 시 개인정보 유출 확정 전이라도 위험 안내 차원에서 침해 사실 공지를 의무화하는 것도 기업 책임 강화 측면에서 바람직할 수 있다”며 “고객들이 잠재 피해에 미리 대비하도록 돕고 신속한 대응책 마련에 도움이 될 것”이라고 말했다.
다만 침해 자체만으로 매번 공지를 할 경우 평판이나 고객 이탈 등 기업 부담이 과도하다는 우려가 있다. 이 때문에 기업 규모나 고객 수, 침해 받은 서비스의 특성 등 여러가지를 감안할 필요가 있다.
이 전문가는 “다양한 요소를 고려해 어느 범위까지 공지 대상인지 등을 면밀하게 밸런싱할 필요가 있을 것”이라고 덧붙였다.
이해민 조국혁신당 의원도 12일 개인정보보호법 일부개정법률안(개별통지 의무화법)을 발의했다. SKT 유출 사고 이후 미흡한 대응을 보완하기 위해 법안이라는 설명이다. SKT가 해킹사고 이후 피해자에게 사고 사실을 늦게 통보하고, 내용도 부실하다는 지적이 제기됐기 때문이다.
이 법안은 개인정보 유출이 발생하면 기업이 정보주체에게 전화·문자·이메일·서면 같은 수단을 이용해 개별적으로 통지하도록 의무화했다. 통지내용을 더욱 구체화하도록 해 이용자의 알 권리를 두텁게 보장한다. 특히 재발방지 대책과 피해자 보호계획 같은 내용을 피해자와 개인정보보호위원회에 전달하도록 했다.
SKT 관계자는 “고객들에게 즉시 안내드리지 못했던 것은 유출 범위나 대상 등이 특정되지 않았기 때문”이라며 “고객 보호가 중요하다 판단해 유심 교체 등 문자로 다 안내 드리고 있으며, 관련 규정들이 개정이 되면 이에 맞춰 충실하고 신속하게 안내드리겠다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
13일 정치권과 법조계 등에서는 사이버공격에 대한 기업의 고객 소통 책임 강화에 대한 논의가 활발하다.
▲예스24 로고 [자료: 예스24]
우왕좌왕 소통에 혼란 키워도 법적 문제 없어
SKT는 4월 유심 해킹 사고 후 고객들에게 빠르게 공지하지 않아 논란이 된 바 있다. 이어 예스24가 지난 9일 랜섬웨어 공격을 당한 후 뒤 늦은 고객 안내와 당국과의 엇박자 소통으로 공분을 샀다. 이에 따라 기업들의 불성실한 고객 공지 논란이 재점화됐다.
예스24는 9일 새벽 4시에 침해를 감지했다. 같은 날 오후 1시 한국인터넷진흥원(KISA)에, 11일 오전에는 개인정보보호위원회에 신고했다. 현행 법에 따른 신고 의무는 지연 없이 지켰다.
하지만 고객 안내 면에선 늑장 대응과 혼란스러운 소통에 비난이 일고 있다. 예스24는 KISA에 신고를 한 9일 오후 1시 이후에도 홈페이지에 ‘시스템 장애’라며 점검 중이라는 공지만 띄웠다. 랜섬웨어 공격을 명확히 인지하고 신고까지 한 후에도 고객들에게 안내하지 않은 것이다. 일부 언론 문의에도 침해 사실을 부정한 것으로 알려졌다. 최수진 국민의힘 의원이 예스24의 랜섬웨어 공격 사실을 알리는 보도자료를 낸 후에야 홈페이지를 통해 침해 사실을 공지했다.
이후 11일 오후에는 “KISA와 협력해 복구작업에 총력을 다하고 있다. 개인정보 유출은 발생하지 않았다”고 2차 입장문을 발표했다. 하지만 KISA는 “예스24는 기술지원에 협조하지 않았다”며 곧바로 반박문을 냈다.
이어 12일 다시 “향후 추가 조사 결과 개인정보 유출 확인 시 개별 연락드릴 예정”이라고 홈페이지에 공지했다. 개인정보위의 조사가 시작됨에 따라 유출이 발견될 수 있는 가능성을 시사한 셈이다.
이처럼 예스24가 연이어 소통에 혼선을 빚으면서 이용자 불안감이 커지고 있다. 2000만명에 달하는 이용자들이 예스24에서 도서와 전자책을 구매하고 공연 티켓 등을 예매한다. 이번 침해로 아이돌 엔화이픈의 팬사인회가 취소되고 배우 박보검의 팬미팅 응모 일정도 연기됐다.
현행법은 개인정보가 유출됐음을 알았을 때 72시간 내 정보 주체에게 통지하도록 돼 있다. 이에 따라 예스24가 랜섬웨어 사실을 인지하고도 고객들에게 안내를 하지 않은 점은 법적인 문제가 없다. 개인정보 유출 여부가 확인되지 않은 상태였기 때문이다.
법조계 전문가들에 따르면 예스24가 일부 언론에 침해 사실을 부정하고, “KISA와 협조 중”이라며 사실과 다른 내용을 발표했어도 법적 제재 사유가 되긴 어렵다.
“유출 전 잠재 위험 공지 바람직...기업 부담도 감안해야”
이에 따라 사이버공격에 대한 공지 제도를 강화해야 한다는 목소리가 나온다. 특히 이번 예스24 사태 이후 개인정보 유출 확인 전이라 해도 잠재 위험에 대비한다는 면에서 침해 사실을 투명하게 공개하도록 해야 한다는 지적도 나온다.
앞서 이재명 정부는 대선 기간 중 ‘개인정보 유출로 인한 중대 피해 예상시 전국민 대상 즉시 공지 의무화’를 공약에 포함했다. 공약이라 구체적 방향은 미정이지만, 피해 ‘예상 시’와 ‘즉시’라는 표현은 현행 법을 강화하겠다는 의도다. 현행법은 유출이 ‘확인’된 경우로 한정해 ‘72시간 내’ 공지로 규정하고 있기 때문이다.
이에 대해 법조계 한 전문가는 “침해 발생 시 개인정보 유출 확정 전이라도 위험 안내 차원에서 침해 사실 공지를 의무화하는 것도 기업 책임 강화 측면에서 바람직할 수 있다”며 “고객들이 잠재 피해에 미리 대비하도록 돕고 신속한 대응책 마련에 도움이 될 것”이라고 말했다.
다만 침해 자체만으로 매번 공지를 할 경우 평판이나 고객 이탈 등 기업 부담이 과도하다는 우려가 있다. 이 때문에 기업 규모나 고객 수, 침해 받은 서비스의 특성 등 여러가지를 감안할 필요가 있다.
이 전문가는 “다양한 요소를 고려해 어느 범위까지 공지 대상인지 등을 면밀하게 밸런싱할 필요가 있을 것”이라고 덧붙였다.
이해민 조국혁신당 의원도 12일 개인정보보호법 일부개정법률안(개별통지 의무화법)을 발의했다. SKT 유출 사고 이후 미흡한 대응을 보완하기 위해 법안이라는 설명이다. SKT가 해킹사고 이후 피해자에게 사고 사실을 늦게 통보하고, 내용도 부실하다는 지적이 제기됐기 때문이다.
이 법안은 개인정보 유출이 발생하면 기업이 정보주체에게 전화·문자·이메일·서면 같은 수단을 이용해 개별적으로 통지하도록 의무화했다. 통지내용을 더욱 구체화하도록 해 이용자의 알 권리를 두텁게 보장한다. 특히 재발방지 대책과 피해자 보호계획 같은 내용을 피해자와 개인정보보호위원회에 전달하도록 했다.
SKT 관계자는 “고객들에게 즉시 안내드리지 못했던 것은 유출 범위나 대상 등이 특정되지 않았기 때문”이라며 “고객 보호가 중요하다 판단해 유심 교체 등 문자로 다 안내 드리고 있으며, 관련 규정들이 개정이 되면 이에 맞춰 충실하고 신속하게 안내드리겠다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
