GS25, 피해 고객에게 문자로 유출 사실 통보
▲문자로 개인정보 유출 사실을 통보한 GS25[자료=보안뉴스 캡처]
[보안뉴스 원병철 기자] GS25가 고객 대상 이벤트를 진행하면서 2,000명의 당첨자 개인정보를 노출한 것으로 알려져 문제가 되고 있다.
GS25는 지난 6월 14일부터 7월 4일까지 ‘GS25 코로나19예방접종 천만명 돌파 기념 감사 이벤트’를 열고 3차에 걸쳐 2,000명씩 6,000명의 당첨자를 발표했다. 당시 이벤트는 애플의 아이패드 제품부터 비타민 음료까지 다양한 경품을 내걸었고, 참가요건 또한 코로나19 백신 예방접종만 했다면 누구나 응모할 수 있기 때문에 참가율이 높은 것으로 알려졌다.
문제는 3차의 발표 중 7월 6일 마지막 당첨자 2,000명을 발표하면서 발생했다. 18시 30분부터 22시 10분까지 약 3시간 40분 동안 당첨자의 개인정보가 마킹 처리되지 않고 공개된 것. GS25에 따르면 노출된 개인정보는 이름과 휴대폰번호 2가지다.
이후 GS25는 해당 내용을 삭제하고, 필요한 조치를 완료했으며, KISA에 신고했다고 밝혔다. 아울러 이와 같은 사고가 재발하지 않도록 직원 교육을 강화하고, 강화된 모니터링 시스템이 마련될 수 있도록 조치하겠다고 강조했다. 또한, 모르는 전화로 연락을 받거나, GS25를 사칭하는 전화에 주의할 것을 당부했다.
▲개인정보보호법 시행령 제40조 ③항[자료=보안뉴스 캡처]
일각에서는 개인정보보호법 시행령 제40조 ③항 ‘1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조 ①항 각 호의 사항을 7일 이상 게재해야 한다’고 나와 있음에도 불구하고 홈페이지에 공지하지 않았다고 지적했다.
이와 관련 <보안뉴스>가 개인정보보호위원회에 직접 알아본 결과, GS25는 정보통신서비스제공자로서 개인정보보호법 제39조의4(개인정보 유출등의 통지·신고에 대한 특례)항에 먼저 적용받기 때문에 홈페이지 공지의 의무는 없는 것으로 확인됐다.
즉, 개인정보를 수집 및 관리하는 ‘정보통신서비스제공자’의 경우 관리하는 개인정보를 노출 및 유출할 경우 24시간 이내 피해자에게 개별적으로 통지하고 관련 기관에 신고해야 하며, ‘일반 기업’의 경우 인터넷 홈페이지에 공지하면 된다는 설명이다. 때문에 정보통신서비스제공자인 GS25는 관련 사실을 직접 알리면 된다.
[원병철 기자(boanone@boannews.com)]
▲문자로 개인정보 유출 사실을 통보한 GS25[자료=보안뉴스 캡처]
[보안뉴스 원병철 기자] GS25가 고객 대상 이벤트를 진행하면서 2,000명의 당첨자 개인정보를 노출한 것으로 알려져 문제가 되고 있다.
GS25는 지난 6월 14일부터 7월 4일까지 ‘GS25 코로나19예방접종 천만명 돌파 기념 감사 이벤트’를 열고 3차에 걸쳐 2,000명씩 6,000명의 당첨자를 발표했다. 당시 이벤트는 애플의 아이패드 제품부터 비타민 음료까지 다양한 경품을 내걸었고, 참가요건 또한 코로나19 백신 예방접종만 했다면 누구나 응모할 수 있기 때문에 참가율이 높은 것으로 알려졌다.
문제는 3차의 발표 중 7월 6일 마지막 당첨자 2,000명을 발표하면서 발생했다. 18시 30분부터 22시 10분까지 약 3시간 40분 동안 당첨자의 개인정보가 마킹 처리되지 않고 공개된 것. GS25에 따르면 노출된 개인정보는 이름과 휴대폰번호 2가지다.
이후 GS25는 해당 내용을 삭제하고, 필요한 조치를 완료했으며, KISA에 신고했다고 밝혔다. 아울러 이와 같은 사고가 재발하지 않도록 직원 교육을 강화하고, 강화된 모니터링 시스템이 마련될 수 있도록 조치하겠다고 강조했다. 또한, 모르는 전화로 연락을 받거나, GS25를 사칭하는 전화에 주의할 것을 당부했다.
▲개인정보보호법 시행령 제40조 ③항[자료=보안뉴스 캡처]
일각에서는 개인정보보호법 시행령 제40조 ③항 ‘1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조 ①항 각 호의 사항을 7일 이상 게재해야 한다’고 나와 있음에도 불구하고 홈페이지에 공지하지 않았다고 지적했다.
이와 관련 <보안뉴스>가 개인정보보호위원회에 직접 알아본 결과, GS25는 정보통신서비스제공자로서 개인정보보호법 제39조의4(개인정보 유출등의 통지·신고에 대한 특례)항에 먼저 적용받기 때문에 홈페이지 공지의 의무는 없는 것으로 확인됐다.
즉, 개인정보를 수집 및 관리하는 ‘정보통신서비스제공자’의 경우 관리하는 개인정보를 노출 및 유출할 경우 24시간 이내 피해자에게 개별적으로 통지하고 관련 기관에 신고해야 하며, ‘일반 기업’의 경우 인터넷 홈페이지에 공지하면 된다는 설명이다. 때문에 정보통신서비스제공자인 GS25는 관련 사실을 직접 알리면 된다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
