(구) 웹진거북이

계속되는 보안 위협, 개인정보 유출 사고

작성자
송 민서
작성일
2023-01-01 01:19
조회
3
날이 갈수록 디지털화가 가속되며 우리는 더욱더 진보된 서비스를 누릴 수 있게 되었다. 하지만 기술의 발전과 폭넓은 데이터 사용이 항상 긍정적인 영향만 미치는 것은 아니다. 많은 양의 데이터가 활용되면서 어딜 가나 개인정보를 수집·활용하고 있기 때문에 개개인의 신상 정보가 유출되거나 오·남용되는 사례가 적지 않게 발생하고 있기 때문이다. 실제로 ‘개인정보는 공공재’라는 이야기가 나올 정도로 개인정보 유출 사고는 사회 곳곳에서 쉬이 찾아볼 수 있다.

특히나 기업이 소비자들의 개인정보를 오·남용하기 쉬워질 수 있다는 우려가 컸던 마이데이터는 여전히 화제의 중심이다. 편리한 서비스를 누릴 수 있다는 긍정적인 시선 또한 존재하지만, 사람들의 불안은 좀처럼 사그라지지 않고 있다.

 


▲ 토스 뱅크

 

토스의 고객 데이터 판매 사건은 이러한 고객들의 불안을 현실화했다. 최근 토스는 보험 상담 고객 데이터베이스(DB)를 자사 설계사에게 판매한 사실이 밝혀졌다. 토스 이용객 1,700여 명의 데이터가 약 600명에 달하는 보험 설계사들에게 제공되었으며, 회원 DB 1건당 69,000원의 가격이 책정되었다고 한다. 기업을 믿고 보험 서비스를 이용한 고객들의 개인정보가 돈벌이의 수단이 된 것이다.

이 사건의 가장 큰 문제는 개인정보가 팔려나간 것을 알게 되었음에도 취할 수 있는 조치가 없다는 점이다. 토스가 동의받은 경우 고객의 금융 개인 정보를 판매할 수 있는 ‘본인 신용정보 관리업’ 사업자 자격을 취득한 상태이기 때문이다. 실제로 토스 측은 사업자 자격을 가지고 있을 뿐만 아니라 자체적인 안전장치 또한 마련해놓았기에 문제 될 이유가 없다고 밝혔다. 정보가 팔려나간 사람들은 울화가 치밀어 오르더라도 토스에게 법적 책임을 물 수는 없는 것이다.

이는 비단 토스만의 문제가 아니다. 마이데이터는 토스 고유의 서비스가 아니므로 본격적으로 시행되면 얼마든지 비슷한 사례가 생길 수 있다. 개인의 동의하에 이루어진다고는 하나 해당 데이터가 제삼자에게 넘어가는 과정에서 유료로 판매되는 것인지 무상으로 제공되는지, 목적이 무엇인지 알 수 없다. 고객에게 편리하고 가치 있는 서비스를 제공하기 위함이라는 취지는 알겠으나, 정작 개인정보 보호법의 본질에는 한참 벗어난 것이다.

 


▲ 서울대학교병원 건물

 

한편 해킹으로 말미암은 유출 사고 또한 빈번하게 일어나고 있다. 서울대병원은 지난해 7월 해킹으로 환자 정보가 유출되는 사건이 발생했다. 1년이 지난 사건이지만 최근 유출 정황이 추가로 확인되면서 다시 수면 위로 떠올랐다. 아직 정보가 이용당한 사례는 밝혀지지 않고 있으나 환자의 정보가 유출되었다는 사실만으로 많은 사람의 관심을 불러 모으고 있다.

의류 쇼핑몰 앱 브랜디는 최근 개인정보 유출 사건으로 약 4억 원가량의 과징금을 물었다. 해킹으로 639만여 건의 고객 정보가 유출되면서 브랜디가 개인정보 보호법을 위반한 사실 또한 함께 드러나 이와 같은 처벌을 받게 된 것으로 밝혀졌다.

 


▲ 무분별하게 유통되는 데이터들

 

SNS 사용량이 증가하는 기조에 따라 SNS를 통한 개인정보 유출 사고 또한 늘어나고 있다. 많은 기업과 단체가 SNS로 이벤트를 진행한다는 사실을 이용하는 방식이다. 공식 SNS 계정과 유사한 아이디로 설정한 다음 프로필을 같게 만들어서 공식 페이지인 것처럼 착각하게 하고, 이벤트에 당첨되었다며 특정 사이트에 접속하게끔 유도한다.

무분별하게 문자로 스팸 메시지를 쏟아내던 예전과는 달리, 사람들이 정말 의심하지 않고 받아들일 수 있게끔 교묘하게 속이는 수법을 이용하고 있다. SNS 상에서 이벤트 참여를 많이 해본 사람이라면 현혹되기 쉬운 방법이기 때문에 공식 계정이 맞는지 정확하게 확인할 필요가 있다.

 


▲ 개인정보 보호

 

그렇다면 시간이 지날수록 중요성이 커지고 있는 개인정보 보호에 대한 처벌 수준은 적당할까? 지난해 개인정보 보호법 6개 사항을 위반한 페이스북은 약 64억 원의 과징금을 부과받았다. 같은 사태에 대해 약 5조 9,000억 원을 부과한 미국에 비해 훨씬 약한 수준이다. 물론 우리나라는 피해 규모가 약 12만 명이었고, 미국은 약 3,200만 명으로 차이가 있긴 하다. 하지만 피해 규모가 동일하다고 가정하여 계산해도 4배 이상의 차이가 난다.

또한, 프랑스는 작년 가정용 공구 기업 Brico Prive가 프랑스 국내법 5개 사항을 위반했다는 이유로 총 50만 유로(약 6억 7,599만 원)의 벌금을 부과했다. 하지만 우리나라의는 작년 챗봇 기반 애플리케이션을 운영하는 기업 스캐터랩이 8개 사항을 위반한 사례에 총 1억 330만 원의 벌금을 부과했다. 더 많은 사항을 위반했으나 벌금은 절반에도 한참 못 미치는 수준이다.

일본은 재작년 12월부터 개인정보 보호법의 처벌 수위를 대폭 상승시켰다. 최대 1억 엔(약 9억 5,450만 원)의 벌금을 부과할 수 있게 되었다. 마찬가지로 중국은 개인정보 보호법을 시행한 지난해 11월부터 엄격한 처벌 기준을 내세우고 있다. 최대 5,000만 위안(약 97억 1,350만 원) 이하 혹은 전년도 매출 5%까지 벌금을 물 수 있다.

이러한 세계의 움직임과는 달리 지난 1년간 발생했던 국내의 개인정보 보호 위반에 대한 벌금 처분 사례를 살펴보면, 처벌 수준이 상당히 약한 것을 알 수 있다. 수천 건의 개인정보를 유출한 기업·기관에 대해서도 과징금이나 과태료가 대부분 몇백만 원에서 몇천만 원 사이에 불과했다.

국내에서도 공공을 중심으로 처벌 수위를 강화하려는 움직임이 서서히 일어나고는 있지만, 아직 한참 부족한 상황이다. 한 관계자는 “그동안 책임자나 담당자에 대한 징역형에 초점에 맞춰져 있었다. 그러나 기업과 같은 조직이 더욱 책임감을 느껴야 하는 것이 맞다. 따라서 개인에 대한 형벌보다는 과징금 액수를 높여 기업·기관이 개인정보 관리에 경각심을 가질 수 있게 해야 한다.”라고 주장했다.

과시에 대한 처벌은 조직에 실제적인 타격을 입힐 수 있는 수준이 되어야 실효성이 생긴다고 한다. 그 때문에 우리나라도 국제 추세를 따라 처벌 수위를 높이고 실효성을 끌어낼 필요가 있다. 데이터를 이용하여 다양한 서비스를 제공하는 것도 좋지만, 고객들의 정보를 지키고 신뢰를 쌓아야 비로소 소비자의 신임을 얻을 수 있을 것이다.

 

 

수습기자 송민서

 

이미지 출처

https://www.google.co.kr/amp/s/imnews.imbc.com/news/2022/society/article/6387852_35674.html

https://it.donga.com/101819/

http://www.wikileaks-kr.org/news/articleView.html?idxno=127831

https://www.google.co.kr/amp/www.cctvnews.co.kr/news/articleViewAmp.html%3fidxno=232900

 

 
전체 0