이 기사는 2024년 12월 12일 07:01 thebell 에 표출된 기사입니다.

개인정보 보호에 대한 의식이 점차 강화되면서 법 위반에 따른 최대 과징금액은 나날이 경신되고 있다. 개인정보 유출 사고가 기업 신뢰도에 타격을 줄 뿐만 아니라 동시에 직접적인 리스크로 이어지게 됐다.

높아지는 과징금액만큼이나 기업에게 부과하는 의무도 강화하고 있다. 개인정보보호법에서는 개인정보 분실·도난·유출·위조·변조에 대비한 관리계획 수립과 안전성 확보를 위한 기술적·관리적 조치를 명시하고 있다. 유출 방지를 위한 조치의 수행 여부에 따라 제재 수위가 결정되고 있다.

◇엄격해진 제재, 안전조치 미흡시 처벌

개인정보 유출은 피해 발생시 그 과실에 근거해 책임을 지우는 과실책임이다. 같은 정보 유출이라고 할지라도 단순 실수인지, 고의적인지, 해커의 공격인지 등에 따라 과실을 달리 적용하게 된다. 이 관점에서 모호한 사례가 있다. 크리덴셜 스터핑(Credential Stuffing)이다.

크리덴셜 스터핑은 여러 경로를 통해 수집한 계정, 비밀번호 등 개인정보(Credential)를 특정 사이트에 방문해 무작위로 대입(Stuffing)하는 것을 뜻한다. 해커들이 흔히 사용하는 공격 기법으로, 성공할 경우 시스템상 정상 사용자의 접속으로 여겨지기 때문에 외부 침입을 막는 보안 체계를 무력화할 수 있다. 해커들이 개인정보를 데이터베이스(DB)화해 거래하는 주요 이유 중 하나다.

2016년 2540만건의 개인정보 유출로 44억원의 과징금을 부과받았던 인터파크는 2023년 또 한번 10억원의 과징금을 부과받았다. 78만여건의 개인정보가 유출됐기 때문이다. 눈길을 끄는 것은 과징금액보다는 세부적인 내용이다. 개인정보보호위원회(이하 개인정보위)에 따르면 당시 유출은 크리덴셜 스터핑으로 인해 발생했다.


'이미 유출된 정보'를 기반으로 접속을 시도하는 특성상 크리덴셜 스터핑의 경우 책임 소재가 모호하다. 실제 과거에는 크리덴셜 스터핑으로 피해가 발생할 경우 기업에게 책임을 물을 수 있을지에 대한 논란이 일기도 했다.

2018년 우리은행이 겪은 5만6000건의 개인정보 유출 사례가 대표적이다. 당시 5일에 걸쳐 3개 IP에서 85만회의 로그인 시도가 있었고 이중 5만6000명에게서 피해가 발생했다. 우리은행의 이상금융거래탐지시스템(FDS) 미흡에 대한 질타도 있었지만 동시에 동일한 아이디, 패스워드를 써 피해를 자초했다는 지적이 제기되기도 했다. 실제 우리은행은 해당 건으로 별도 제재를 받지는 않았다.

◇기술적·관리적 조치 의무

크리덴셜 스터핑으로 인한 피해가 잦아짐에 따라 제재도 강화되는 중이다. 개인정보위는 2023년 인터파크에게 10억원의 과징금을 부과하며 보호 조치가 미흡하다는 점을 지적했다. 비정상적인 접속 시도에 대응할 수 있는 차단 시스템을 갖추지 않았다는 것이다.

이는 개인정보보호법에서 규정하는 안전조치의무에 근거한다. '사회통념상 함리적으로 기대 가능한 보호조치'를 이행토록 요구하는 내용이다. 구체적으로 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한해 인가받지 않은 접근을 제한하고, 접속한 IP 등을 분석해 개인정보 유출 시도를 탐지·대응 하는 등의 규정이다.

크리덴셜 스터핑으로 인한 제재는 꾸준히 발생하고 있다. 지난 4월 인터넷 강의 서비스를 제공하는 디지털대성도 크리덴셜 스터핑에 대한 안전조치의무 위반으로 약 6억원의 과징금을 부과받았다. 채용 중개 기업 인크루트, 온라인 지불 시스템 운영사 페이팔 등도 제재받은 바 있다.

크리덴셜 스터핑 외에 SQL 인젝션과 같은 보안 취약점을 이용한 해킹도 기승을 부리고 있다. 해킹으로 인한 개인정보 유출이 이어지면서 제재는 정보 유출 발생 이전에 '정보 유출 발생 방지를 위한 노력'을 살피게 됐다. 기술 변화에 따른 판단 기준도 변경점을 보이는 만큼 기업들의 주의가 필요하다.