독일의 통신사 고객 관리 센터에서 한 고객의 개인정보를 고객 전 배우자에게 넘겨
통신사는 “이중 인증 장치를 통과할 정보를 전 배우자가 가지고 있었다는 특수 상황”
[보안뉴스 문가용 기자] 독일의 정보 보호 책임 기관인 ‘연방데이터보호정보자유위원회(BfDI)’가 독일의 통신사 1&1 텔레콤 GmbH(1&1 Telecom GmbH)에 엄청난 GDPR 벌금형을 내렸다. 955만 유로로, 123억 9200만원 정도에 해당한다. 그나마도 “1&1 측의 협조적인 태도 때문에 많이 낮춘 것”이라고 한다.
[이미지 = iclickart]
1&1 측이 어긴 건 GDPR 32항이라고 한다. “통신사 고객들에게 제공하는 서비스와 관련하여, 허가를 받지 못한 개인이나 단체가 고객 정보를 취득하는 걸 막기 위한 조치를 1&1이 충분히 취하지 않았다”는 게 이번 벌금형의 이유다. 개인정보의 보호 장치가 충분치 않다는 것이다.
사건의 발단이 된 건 1&1 고객 지원 센터였다. A라는 고객의 전 배우자에게, A의 동의 없이 고객 지원 센터의 직원이 전화번호를 알려준 것이다. 이에 A 고객은 회사를 고소했고, 조사가 시작되어 이번 955만 유로 벌금에까지 이르렀다고 한다. 해당 직원은 전 배우자가 생년월일 등의 개인정보 확인 과정을 문제없이 거쳤기에 그러한 결정을 했다고 주장했지만, BfDI는 접근 제어 장치가 부족하다고 판단했다.
1&1 수사에 협조적으로 임한 것으로 알려졌다. “BfDI와 협의를 거친 이후 1&1은 현재 새로운 인증 프로세스와 장치들을 회사에 도입하는 작업을 진행 중에 있습니다. 이를 통해 고객들의 개인정보를 보다 강력하게 보호할 수 있을 것으로 기대합니다.” BfDI의 설명이다. 하지만 “1&1의 이전 보호 장치들이 다른 고객들에게도 악영향을 미칠 수 있었다고 판단하여 벌금을 부과한다”고 덧붙였다.
BfDI는 이번 벌금을 두고 “최소 금액”이라고 표현했지만, 유럽의 기업들 중 이 정도로까지 큰 벌금형을 받은 기업은 몇 되지 않는다. 독일에서는 한 부동산 회사가 개인정보를 불법적으로 저장한 것이 걸려 1450만 유로의 벌금형을 받았다(약 190억 원). 그러나 영국에서 영국항공이 2억 3천만 달러(약 2681억 원)의 벌금형을 받은 게 현재까지는 최고 기록이다.
그럼에도 이번 BfDI의 결정이 상징성을 갖는 건 컴퓨터 시스템의 오류나 부족함으로 그런 판결이 내려진 게 아니기 때문이다. 개인정보 접근에 대한 ‘구두 인증 절차’가 이번 사건의 핵심이다. 비기술적인 문제로 이처럼 큰 벌금이 내려진 사례는 처음이다.
1&1 텔레콤 측은 이번 BfDI의 결정에 순응할 수 없다고 발표했다. 판결에 동의할 수 없으며, 항소할 것이라는 내용이었다. “1&1는 추가 개인정보 요청에 대해 이중 인증을 요구하고 있으며, 이중 인증 시스템이 이토록 기록적인 벌금을 받을 만큼 약한 인증 시스템은 아닙니다. 이번 사건에서는 전 배우자가 되시는 분께서 이중 인증에 필요한 요소들까지도 알고 있었다는 특수성이 작용했을 뿐입니다.”
또한 1&1은 “최소한의 보안 장치라는 관점에서 산업이나 보안 커뮤니티 내에서 암묵적으로라도 합의된 표준이라는 게 존재하지 않는다”며 “그렇게나 큰 벌금형에 대한 근거가 희박하다”고 주장하기도 했다. “그러므로 이번 벌금의 규모는 부당하며, 기초법을 위반합니다.”
그러면서 1&1은 “보안 요구 사항을 한층 업그레이드 시켰다”고도 덧붙였다. “이중 인증이 아닌, 삼중 인증 체제를 도입했고, 각 고객들에게 고유한 서비스 PIN을 지급할 예정이기도 합니다.”
한편 법원에서 BfDI의 손을 들어준다면, 모든 기업들은 구도로 진행하는 고객 지원 센터의 운영 방침을 크게 손봐야 할 수도 있다. 특히 구두로 신원을 인증하고, 개인정보에 접근하려는 절차를 대폭 바꿔야 할지도 모른다. 하지만 그렇게 될 경우 고객의 편의성은 크게 떨어지게 되고, 따라서 회사에 대한 불만이 커질 가능성이 높다. 보안과 고객 편의성의 균형을 맞추어야 하는 고객 입장에서 상당히 머리 아픈 일이 벌어졌다.
3줄 요약
1. 독일 GDPR 기관, 독일 통신사에 엄청난 벌금형 내림.
2. 그 이유는 고객 센터 직원이 다른 이의 개인정보를 엉뚱한 사람에게 넘긴 것.
3. 사람과 관련된 개인정보 처리 절차 때문에 GDPR 벌금형이 내려진 건 처음 있는 일.
[국제부 문가용 기자(globoan@boannews.com)]
통신사는 “이중 인증 장치를 통과할 정보를 전 배우자가 가지고 있었다는 특수 상황”
[보안뉴스 문가용 기자] 독일의 정보 보호 책임 기관인 ‘연방데이터보호정보자유위원회(BfDI)’가 독일의 통신사 1&1 텔레콤 GmbH(1&1 Telecom GmbH)에 엄청난 GDPR 벌금형을 내렸다. 955만 유로로, 123억 9200만원 정도에 해당한다. 그나마도 “1&1 측의 협조적인 태도 때문에 많이 낮춘 것”이라고 한다.
[이미지 = iclickart]
1&1 측이 어긴 건 GDPR 32항이라고 한다. “통신사 고객들에게 제공하는 서비스와 관련하여, 허가를 받지 못한 개인이나 단체가 고객 정보를 취득하는 걸 막기 위한 조치를 1&1이 충분히 취하지 않았다”는 게 이번 벌금형의 이유다. 개인정보의 보호 장치가 충분치 않다는 것이다.
사건의 발단이 된 건 1&1 고객 지원 센터였다. A라는 고객의 전 배우자에게, A의 동의 없이 고객 지원 센터의 직원이 전화번호를 알려준 것이다. 이에 A 고객은 회사를 고소했고, 조사가 시작되어 이번 955만 유로 벌금에까지 이르렀다고 한다. 해당 직원은 전 배우자가 생년월일 등의 개인정보 확인 과정을 문제없이 거쳤기에 그러한 결정을 했다고 주장했지만, BfDI는 접근 제어 장치가 부족하다고 판단했다.
1&1 수사에 협조적으로 임한 것으로 알려졌다. “BfDI와 협의를 거친 이후 1&1은 현재 새로운 인증 프로세스와 장치들을 회사에 도입하는 작업을 진행 중에 있습니다. 이를 통해 고객들의 개인정보를 보다 강력하게 보호할 수 있을 것으로 기대합니다.” BfDI의 설명이다. 하지만 “1&1의 이전 보호 장치들이 다른 고객들에게도 악영향을 미칠 수 있었다고 판단하여 벌금을 부과한다”고 덧붙였다.
BfDI는 이번 벌금을 두고 “최소 금액”이라고 표현했지만, 유럽의 기업들 중 이 정도로까지 큰 벌금형을 받은 기업은 몇 되지 않는다. 독일에서는 한 부동산 회사가 개인정보를 불법적으로 저장한 것이 걸려 1450만 유로의 벌금형을 받았다(약 190억 원). 그러나 영국에서 영국항공이 2억 3천만 달러(약 2681억 원)의 벌금형을 받은 게 현재까지는 최고 기록이다.
그럼에도 이번 BfDI의 결정이 상징성을 갖는 건 컴퓨터 시스템의 오류나 부족함으로 그런 판결이 내려진 게 아니기 때문이다. 개인정보 접근에 대한 ‘구두 인증 절차’가 이번 사건의 핵심이다. 비기술적인 문제로 이처럼 큰 벌금이 내려진 사례는 처음이다.
1&1 텔레콤 측은 이번 BfDI의 결정에 순응할 수 없다고 발표했다. 판결에 동의할 수 없으며, 항소할 것이라는 내용이었다. “1&1는 추가 개인정보 요청에 대해 이중 인증을 요구하고 있으며, 이중 인증 시스템이 이토록 기록적인 벌금을 받을 만큼 약한 인증 시스템은 아닙니다. 이번 사건에서는 전 배우자가 되시는 분께서 이중 인증에 필요한 요소들까지도 알고 있었다는 특수성이 작용했을 뿐입니다.”
또한 1&1은 “최소한의 보안 장치라는 관점에서 산업이나 보안 커뮤니티 내에서 암묵적으로라도 합의된 표준이라는 게 존재하지 않는다”며 “그렇게나 큰 벌금형에 대한 근거가 희박하다”고 주장하기도 했다. “그러므로 이번 벌금의 규모는 부당하며, 기초법을 위반합니다.”
그러면서 1&1은 “보안 요구 사항을 한층 업그레이드 시켰다”고도 덧붙였다. “이중 인증이 아닌, 삼중 인증 체제를 도입했고, 각 고객들에게 고유한 서비스 PIN을 지급할 예정이기도 합니다.”
한편 법원에서 BfDI의 손을 들어준다면, 모든 기업들은 구도로 진행하는 고객 지원 센터의 운영 방침을 크게 손봐야 할 수도 있다. 특히 구두로 신원을 인증하고, 개인정보에 접근하려는 절차를 대폭 바꿔야 할지도 모른다. 하지만 그렇게 될 경우 고객의 편의성은 크게 떨어지게 되고, 따라서 회사에 대한 불만이 커질 가능성이 높다. 보안과 고객 편의성의 균형을 맞추어야 하는 고객 입장에서 상당히 머리 아픈 일이 벌어졌다.
3줄 요약
1. 독일 GDPR 기관, 독일 통신사에 엄청난 벌금형 내림.
2. 그 이유는 고객 센터 직원이 다른 이의 개인정보를 엉뚱한 사람에게 넘긴 것.
3. 사람과 관련된 개인정보 처리 절차 때문에 GDPR 벌금형이 내려진 건 처음 있는 일.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
