이번 행정제재, 향후 개인정보 유출사건 제재·판결에 전환기 맞을 듯
유출규모와 해킹 주체, 그리고 기술적·관리적 보호조치에 따른 시사점
[보안뉴스 권 준] 지난 5월 해킹으로 2,500여만 건의 회원정보가 유출된 온라인 종합쇼핑몰 인터파크에 대해 개인정보 유출사고 중 최대 금액인 44억 8,000만원의 과징금 및 2,500만원의 과태료와 재발방지 대책을 수립·시행토록 하는 등의 시정명령이 부과됐다. 이는 방송통신위원회(이하 방통위)가 6일 개최한 제68차 전체회의를 통해 결정된 것이다.
그간 방통위는 미래창조과학부와 공동으로 ‘민·관합동조사단’을 구성해 해킹경로 파악과 인터파크의 개인정보 처리·운영 실태에 대한 현장조사를 진행해 왔다. 경찰청으로부터 넘겨받은 해킹사고 관련 자료와 인터파크의 개인정보처리 시스템 등에 남아있는 접속기록 등을 분석한 결과를 바탕으로 이번 제재수위가 결정된 것으로 알려졌다.
이번 결정이 나온 직후, 각 기업의 보안담당자들과 보안업계 종사자들 사이에서는 여러 가지 견해가 봇물처럼 터져 나왔다. 개인정보 유출사고가 발생한 기존 기업들과 비교해 매우 높은 수준의 과징금이 부과됐다는 점에서 그 배경에 대한 설왕설래가 이어지고 있는 셈이다.
이에 본지는 인터파크의 유출규모와 해킹 주체, 그리고 기술적·관리적 보호조치 위반사항을 중심으로 사상 최대 금액인 44억 규모의 과징금이 부과된 배경을 분석해봤다.
2,500만여 건의 유출규모와 9가지 유출항목
먼저 개인정보 유출규모의 경우 아이디와 일련번호만 유출되어 개인정보 건수에서 제외한 법인 및 개인 탈퇴회원 4,426,240건을 제외하더라도 총 25,403,576건에 달해 역대 3위에 해당된다. 또한, 유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목에 이른다. 이는 2014년 1월 카드 3사의 개인정보 유출건수 1억 4백만여 건과 2011년 네이트의 3,500만여 건에 이은 규모다.
그러나 과거 2가지 사건과 비교해서 과징금 및 과태료 규모 면에서는 천지차이다. 카드 3사 사건의 경우 카드사별로 1,500만원과 1,000만 사이에 벌금에 그쳤고, 네이트는 법원에 의해 ‘혐의 없음’ 판결로 면죄부를 받았다.
인터파크로서는 억울함을 호소할 수도 입장이지만, 이는 최근 개인정보 유출에 대한 국민들의 분노와 이에 따른 법 개정 추세로 볼 때 어느 정도 예측 가능했던 흐름이라는 게 보안전문가들의 대체적인 견해다.
더욱이 올해 7월부터 개인정보보호법상에 징벌적 손해배상제도 및 법정 손해배상제도가 도입되면서 과징금 책정에 영향을 미쳤다는 분석도 제기된다. 이는 또한 민사소송으로 진행되는 유출 피해자들의 집단소송 배상금액에도 큰 영향을 미칠 것으로 예상된다.
해킹 주체는 북한? 더 이상 면죄부 아냐
두 번째, 이번 과징금 44억 부과는 해킹 주체로 ‘북한’이라는 명제가 더 이상 고려대상이 아니라는 점을 보여줬다는 평가다. 과거 많은 해킹 사례에서 보듯 북한의 소행이라는 수사결과가 발표되면 북한의 공격을 피할 수 없지 않느냐는 인식이 강했던 게 사실이다.
이로 인해 인터파크 해킹 주체가 북한 정찰총국으로 추정된다는 ‘민·관합동조사단’의 중간 수사결과가 발표되면서 인터파크가 사실상 면죄부를 받는 게 아니냐는 인식도 있었다. 여러 정부부처는 물론 한수원 등도 북한 해킹에 속수무책으로 당하는 상황에서 일개 기업이 북한 측의 공격을 받았다면 뚫릴 수밖에 없고, 이러한 점이 인터파크의 책임소재에 영향을 미칠 수 있다는 것이다.
그럼에도 이번 개인정보 유출사고에 있어 ‘역대급’ 과징금이 부과되면서 해킹 주체에 대한 고려는 사실상 무의미해졌다는 분석이 제기된다. 더욱이 이번 방통위 발표에서 해킹 주체에 대한 언급이 빠졌다는 점에서 실제 북한의 소행이 맞느냐는 점도 의문으로 남게 됐다.
인터파크의 기술적·관리적 보호조치 위반사항 ‘결정타’
이번 과징금을 결정하는 데 있어 가장 큰 고려사항은 바로 인터파크의 기술적·관리적 보호조치가 제대로 이루어졌는지 여부라고 볼 수 있다. 이 부분에 있어 인터파크의 책임이 크다는 게 44억의 과징금으로 입증됐다는 것이다.
방통위는 이번 사고의 주요 원인으로 정보통신망법 제28조제1항에 따른 기술적·관리적 보호조치 중 접근통제를 소홀히 했다는 점을 꼽았다. 개인정보처리 시스템에 대한 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 ‘최대 접속시간 제한 조치’ 등을 취해야 하지만, 개인정보처리자가 업무가 끝난 뒤에도 로그아웃을 하지 않고 퇴근해 개인정보처리자의 PC가 해킹에 이용됐기 때문이다.
특히, 인터파크는 보관·관리하고 있는 개인정보량이 2,500여만건으로 매우 방대하고, 여러 사업자와 개인정보를 공유하고 있기 때문에 이에 걸맞은 엄격하고 세밀한 개인정보 관리가 요구됨에도 접근통제, 망분리, 비밀번호 암호화 조치 등 각종 기술적·관리적 보호조치를 소홀히 했다는 점이 이번 과징금 부과의 결정적인 원인으로 된 것으로 보인다.
“반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다. 이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다”는 방통위 최성준 위원장의 언급에서 보듯 기술적·관리적 보호조치가 미흡할 경우 심각한 경영상 타격을 입을 수 있다는 점을 이번 사례로 ‘본보기’ 삼으려 한 것으로 볼 수 있다.
이번 인터파크의 행정제재로 유출 피해자들의 집단소송은 물론 향후 해킹사고 제재 및 판결에 있어서도 큰 전환기를 맞게 됐다. 특히, 인터파크 유출 피해자들의 집단소송 진행과정에서 앞서 언급한 3가지 배경을 중심으로 치열한 법리 공방이 펼쳐질 것으로 보인다.
[권 준 기자(editor@boannews.com)]
유출규모와 해킹 주체, 그리고 기술적·관리적 보호조치에 따른 시사점
[보안뉴스 권 준] 지난 5월 해킹으로 2,500여만 건의 회원정보가 유출된 온라인 종합쇼핑몰 인터파크에 대해 개인정보 유출사고 중 최대 금액인 44억 8,000만원의 과징금 및 2,500만원의 과태료와 재발방지 대책을 수립·시행토록 하는 등의 시정명령이 부과됐다. 이는 방송통신위원회(이하 방통위)가 6일 개최한 제68차 전체회의를 통해 결정된 것이다.
그간 방통위는 미래창조과학부와 공동으로 ‘민·관합동조사단’을 구성해 해킹경로 파악과 인터파크의 개인정보 처리·운영 실태에 대한 현장조사를 진행해 왔다. 경찰청으로부터 넘겨받은 해킹사고 관련 자료와 인터파크의 개인정보처리 시스템 등에 남아있는 접속기록 등을 분석한 결과를 바탕으로 이번 제재수위가 결정된 것으로 알려졌다.
이번 결정이 나온 직후, 각 기업의 보안담당자들과 보안업계 종사자들 사이에서는 여러 가지 견해가 봇물처럼 터져 나왔다. 개인정보 유출사고가 발생한 기존 기업들과 비교해 매우 높은 수준의 과징금이 부과됐다는 점에서 그 배경에 대한 설왕설래가 이어지고 있는 셈이다.
이에 본지는 인터파크의 유출규모와 해킹 주체, 그리고 기술적·관리적 보호조치 위반사항을 중심으로 사상 최대 금액인 44억 규모의 과징금이 부과된 배경을 분석해봤다.
2,500만여 건의 유출규모와 9가지 유출항목
먼저 개인정보 유출규모의 경우 아이디와 일련번호만 유출되어 개인정보 건수에서 제외한 법인 및 개인 탈퇴회원 4,426,240건을 제외하더라도 총 25,403,576건에 달해 역대 3위에 해당된다. 또한, 유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목에 이른다. 이는 2014년 1월 카드 3사의 개인정보 유출건수 1억 4백만여 건과 2011년 네이트의 3,500만여 건에 이은 규모다.
그러나 과거 2가지 사건과 비교해서 과징금 및 과태료 규모 면에서는 천지차이다. 카드 3사 사건의 경우 카드사별로 1,500만원과 1,000만 사이에 벌금에 그쳤고, 네이트는 법원에 의해 ‘혐의 없음’ 판결로 면죄부를 받았다.
인터파크로서는 억울함을 호소할 수도 입장이지만, 이는 최근 개인정보 유출에 대한 국민들의 분노와 이에 따른 법 개정 추세로 볼 때 어느 정도 예측 가능했던 흐름이라는 게 보안전문가들의 대체적인 견해다.
더욱이 올해 7월부터 개인정보보호법상에 징벌적 손해배상제도 및 법정 손해배상제도가 도입되면서 과징금 책정에 영향을 미쳤다는 분석도 제기된다. 이는 또한 민사소송으로 진행되는 유출 피해자들의 집단소송 배상금액에도 큰 영향을 미칠 것으로 예상된다.
해킹 주체는 북한? 더 이상 면죄부 아냐
두 번째, 이번 과징금 44억 부과는 해킹 주체로 ‘북한’이라는 명제가 더 이상 고려대상이 아니라는 점을 보여줬다는 평가다. 과거 많은 해킹 사례에서 보듯 북한의 소행이라는 수사결과가 발표되면 북한의 공격을 피할 수 없지 않느냐는 인식이 강했던 게 사실이다.
이로 인해 인터파크 해킹 주체가 북한 정찰총국으로 추정된다는 ‘민·관합동조사단’의 중간 수사결과가 발표되면서 인터파크가 사실상 면죄부를 받는 게 아니냐는 인식도 있었다. 여러 정부부처는 물론 한수원 등도 북한 해킹에 속수무책으로 당하는 상황에서 일개 기업이 북한 측의 공격을 받았다면 뚫릴 수밖에 없고, 이러한 점이 인터파크의 책임소재에 영향을 미칠 수 있다는 것이다.
그럼에도 이번 개인정보 유출사고에 있어 ‘역대급’ 과징금이 부과되면서 해킹 주체에 대한 고려는 사실상 무의미해졌다는 분석이 제기된다. 더욱이 이번 방통위 발표에서 해킹 주체에 대한 언급이 빠졌다는 점에서 실제 북한의 소행이 맞느냐는 점도 의문으로 남게 됐다.
인터파크의 기술적·관리적 보호조치 위반사항 ‘결정타’
이번 과징금을 결정하는 데 있어 가장 큰 고려사항은 바로 인터파크의 기술적·관리적 보호조치가 제대로 이루어졌는지 여부라고 볼 수 있다. 이 부분에 있어 인터파크의 책임이 크다는 게 44억의 과징금으로 입증됐다는 것이다.
방통위는 이번 사고의 주요 원인으로 정보통신망법 제28조제1항에 따른 기술적·관리적 보호조치 중 접근통제를 소홀히 했다는 점을 꼽았다. 개인정보처리 시스템에 대한 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 ‘최대 접속시간 제한 조치’ 등을 취해야 하지만, 개인정보처리자가 업무가 끝난 뒤에도 로그아웃을 하지 않고 퇴근해 개인정보처리자의 PC가 해킹에 이용됐기 때문이다.
특히, 인터파크는 보관·관리하고 있는 개인정보량이 2,500여만건으로 매우 방대하고, 여러 사업자와 개인정보를 공유하고 있기 때문에 이에 걸맞은 엄격하고 세밀한 개인정보 관리가 요구됨에도 접근통제, 망분리, 비밀번호 암호화 조치 등 각종 기술적·관리적 보호조치를 소홀히 했다는 점이 이번 과징금 부과의 결정적인 원인으로 된 것으로 보인다.
“반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다. 이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다”는 방통위 최성준 위원장의 언급에서 보듯 기술적·관리적 보호조치가 미흡할 경우 심각한 경영상 타격을 입을 수 있다는 점을 이번 사례로 ‘본보기’ 삼으려 한 것으로 볼 수 있다.
이번 인터파크의 행정제재로 유출 피해자들의 집단소송은 물론 향후 해킹사고 제재 및 판결에 있어서도 큰 전환기를 맞게 됐다. 특히, 인터파크 유출 피해자들의 집단소송 진행과정에서 앞서 언급한 3가지 배경을 중심으로 치열한 법리 공방이 펼쳐질 것으로 보인다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
