[프라이버시 리스크]이미지 하락에 과징금도, 기업 개인정보 유출 '이중고'해킹 통한 개인정보 유출 사고 기승…통지·신규 제재 강화
이종현 기자공개 2025-01-03 10:00:13
[편집자주]
개인정보 보호가 기업의 새로운 리스크로 떠올랐다. 세계 각국은 자국민의 개인정보를 지키기 위한 법 체계를 강화하는 경쟁을 벌이고 있다. 법 위반에 따른 제재도 강화되면서 수조원대 과징금을 부과받은 사례도 나타났다. 데이터를 핵심 자원으로 삼는 AI 시대의 도래로 '프라이버시 리스크'는 더 커질 것으로 예상된다. 개인정보 보호를 둘러싼 국내외 동향과 이에 대응하는 기업·기관의 움직임을 살펴본다.
이 기사는 2024년 12월 17일 07:44 thebell 에 표출된 기사입니다.
다만 개인정보보호법이 점차 강화되면서 내부자에 의한 개인정보 유출 사례는 점차 줄어드는 추세다. 종종 발생하는 사례들 상당수는 악의를 가진 행위라기보다는 단순 실수에서 비롯하는 경우가 주를 이룬다. 최근에는 내부보다는 해커에 의한 공격으로 인한 유출 사고가 더 빈번하다.
기업에서 개인정보 유출 사고가 발생할 경우 기업 신뢰도와 이미지에 타격을 주는 만큼 쉬쉬하고 넘어가는 경우가 잦았다. 그러나 관련 법이 개정되면서 유출이 발생할 경우 통지·신고를 의무화하면서 사고를 은폐하는 행위는 위법이 됐다. 기업을 향한 제재 그물망이 점차 촘촘해지는 모습이다.
◇해킹으로 인한 개인정보 유출 빈번
개인정보 보호에 대한 관심이 커지면서 관련 법령은 빈번하게 개정되고 있다. 2020년 8월 1차 개정 이후 2023년, 2024년 추가 개정이 이뤄졌다. 시행령의 개정은 더 활발하다. 2020년 8월 이후 9번의 개정이 이뤄졌다.
시시각각 달라지는 규정 중 눈길을 끄는 것은 2023년 9월 개정 시행령이다. 외부로부터 불법적인 접근에 의해 개인정보가 유출된 경우라는 구체적인 사항이 삽입됐다. 담당자의 실수나 시스템 오류 등을 제외한 대부분의 기업 개인정보 유출이 외부 침입, 해킹에 의해 이뤄지는 것을 반영한 결과다.
개인정보보호위원회(이하 개인정보위)는 개인정보 유출을 일으키는 대표적인 해킹 수법으로 △여러 경로를 통해 수집한 계정, 비밀번호 등 개인정보(Credential)를 특정 사이트에 방문해 무작위로 대입(Stuffing)하는 '크리덴셜 스터핑' △서버의 파일 시스템 경로를 악의적으로 변경하는 '파라미터 변조' △취약점을 이용해 악의적인 SQL 코드를 삽입하는 'SQL 인젝션' 등을 꼽는다.
3개 수법 모두 시스템의 허점을 이용한 것으로 사전 보안 조치를 충실히 했다면 막을 수 있다. 하지만 오래 전 설계한 시스템을 운영하고 있거나 보안에 신경을 쓰지 않을 경우 해커가 마음만 먹으면 언제든지 유출될 수 있다. 실제 다크웹 등에 유통되는 한국인 개인정보는 관리가 미흡한 중소기업에서 탈취된 정보가 주를 이룬다.
매출액이 적은 기업의 경우 과징금도 적게 책정된다. 하지만 과징금이 적다고 해서 사태의 심각성도 적다고 보기는 어렵다. 가령 지난 11월 5일 과징금 5110만원을 부과받은 재태크 관련 동영상 서비스 사업자를 통해 유출된 것은 10만명 이상이다. 이런 데이터는 크리덴셜 스터핑 등 추가 해킹을 위한 재료로 활용되기 때문이다.
개인정보위는 개인정보 지식센터의 '해킹사고로 바라본 개인정보 유출'을 통해 "기업들은 자신이 비즈니스를 하는 분야에서 현장에 안착된 필수 조치(de facto standard)가 어디까지인지 파악하고 선례·판례에서 쓰였던 고려요소를 참고하는 등 보편적으로 요구되는 보호조치 규범이 어느 수준인지를 파악하려는 노력을 지속해야 한다"고 강조했다.
◇개인정보 유출시 72시간 이내 통지·신고 의무
이미지 하락과 제재를 피하기 위해 상당수 기업들은 유출 사실을 은폐하는 것을 택하곤 한다. 보안업계 종사자들은 통계상 집계되는 수치는 실제 유출의 일부일 뿐이라며, 양지화하는 것이 필요하다고 말한다.
개인정보보호법은 이와 관련된 내용도 구체화하고 있다. 2020년까지만 하더라도 개인정보 유출 신고는 오프라인 사업자의 경우 5일 이내, 온라인 사업자는 24시간 이내 등으로 분리돼 운영됐다. 하지만 2023년 개인정보가 분실·도난·유출될 경우 온·오프라인 모두 72시간 내에 정보주체에게 알리고 신고토록 개정했다. 민감정보, 고유식별정보 유출에 대한 신고 의무가 적시된 것도 이때다.
다만 유출 통지·신고 지연의 처벌은 과태료 3000만원 이하로 무거운 편은 아니다. 일각에서는 관련 벌금액이 적어 실효성이 떨어진다는 지적도 제기된다. 다만 벌금액을 과도하게 산정할 경우 더더욱 유출 사실을 은폐할 수 있다는 반론도 나온다.
개인정보위가 통지·신고 지연 제재는 2022년 10여개 사업자에서 2023년 20여개 사업자로 2배가량 증가했다. 올해는 11월까지 15개 사업자로 전년보다 줄어든 수준이다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >
best clicks
최신뉴스 in 전체기사
-
- [카드사 생크션 리스크]파견직원 일탈 막는다…KB국민카드, 개인정보 보안 강화
- [국내기업 광물 규제 대응법]SK하이닉스, 관리 대상 확대·신속 사후 조치
- [프라이버시 리스크]이미지 하락에 과징금도, 기업 개인정보 유출 '이중고'
- [아시아 크립토 생크션 리스크]코인기업, 라이선스 취득 필수에 '탈 싱가포르' 행렬
- [게임사 생크션 리스크]중국에서 인도까지…우여곡절 컸던 크래프톤
- [국내기업 광물 규제 대응법]'2차전지 올인' 에코프로, 광범위 관리 정보 세부 공개
- 수출입은행, '국제협력은행'으로 거듭난다
- '군산~제주' 노선 맡는 진에어, 편당 보조금 83만원 확정
- [게임사 생크션 리스크]'중국서 날벼락' 넥슨, 불확실성 경험 '산증인'
- [국내기업 광물 규제 대응법]현대차그룹, 전기차 시대 공급망 관리 능력 증명 '시험대'
이종현 기자의 다른 기사 보기
-
- [i-point]비트나인, 사명 '스카이월드와이드' 변경
- [i-point]바이오솔루션, 카티라이프 미국 임상 2상 마무리 단계
- [프라이버시 리스크]이미지 하락에 과징금도, 기업 개인정보 유출 '이중고'
- [Company Watch]적자 지속된 샌즈랩, 새해 수익성 개선 집중
- [i-point]시노펙스, 탄소 배출권 첫 판매계약 체결
- [유증&디테일]'디지털트윈' 이에이트, 176억 규모 유증 추진
- [프라이버시 리스크]'유출 방지 노력'이 제재 여부·수위 판가름
- [i-point]하이케어넷, AI 호흡기 질환 원격 모니터링 사업 추진
- [프라이버시 리스크]강화된 개인정보 유출 제재 수위 강화
- [i-point]SGA솔루션즈, 2025년 사이버 보안 전망 발표