[프라이버시 리스크]'유출 방지 노력'이 제재 여부·수위 판가름리스크 관리 위한 보안 시스템 갖춰야
이종현 기자공개 2025-01-02 10:00:26
[편집자주]
개인정보 보호가 기업의 새로운 리스크로 떠올랐다. 세계 각국은 자국민의 개인정보를 지키기 위한 법 체계를 강화하는 경쟁을 벌이고 있다. 법 위반에 따른 제재도 강화되면서 수조원대 과징금을 부과받은 사례도 나타났다. 데이터를 핵심 자원으로 삼는 AI 시대의 도래로 '프라이버시 리스크'는 더 커질 것으로 예상된다. 개인정보 보호를 둘러싼 국내외 동향과 이에 대응하는 기업·기관의 움직임을 살펴본다.
이 기사는 2024년 12월 12일 07:01 thebell 에 표출된 기사입니다.
개인정보 보호에 대한 의식이 점차 강화되면서 법 위반에 따른 최대 과징금액은 나날이 경신되고 있다. 개인정보 유출 사고가 기업 신뢰도에 타격을 줄 뿐만 아니라 동시에 직접적인 리스크로 이어지게 됐다.높아지는 과징금액만큼이나 기업에게 부과하는 의무도 강화하고 있다. 개인정보보호법에서는 개인정보 분실·도난·유출·위조·변조에 대비한 관리계획 수립과 안전성 확보를 위한 기술적·관리적 조치를 명시하고 있다. 유출 방지를 위한 조치의 수행 여부에 따라 제재 수위가 결정되고 있다.
◇엄격해진 제재, 안전조치 미흡시 처벌
개인정보 유출은 피해 발생시 그 과실에 근거해 책임을 지우는 과실책임이다. 같은 정보 유출이라고 할지라도 단순 실수인지, 고의적인지, 해커의 공격인지 등에 따라 과실을 달리 적용하게 된다. 이 관점에서 모호한 사례가 있다. 크리덴셜 스터핑(Credential Stuffing)이다.
크리덴셜 스터핑은 여러 경로를 통해 수집한 계정, 비밀번호 등 개인정보(Credential)를 특정 사이트에 방문해 무작위로 대입(Stuffing)하는 것을 뜻한다. 해커들이 흔히 사용하는 공격 기법으로, 성공할 경우 시스템상 정상 사용자의 접속으로 여겨지기 때문에 외부 침입을 막는 보안 체계를 무력화할 수 있다. 해커들이 개인정보를 데이터베이스(DB)화해 거래하는 주요 이유 중 하나다.
2016년 2540만건의 개인정보 유출로 44억원의 과징금을 부과받았던 인터파크는 2023년 또 한번 10억원의 과징금을 부과받았다. 78만여건의 개인정보가 유출됐기 때문이다. 눈길을 끄는 것은 과징금액보다는 세부적인 내용이다. 개인정보보호위원회(이하 개인정보위)에 따르면 당시 유출은 크리덴셜 스터핑으로 인해 발생했다.
'이미 유출된 정보'를 기반으로 접속을 시도하는 특성상 크리덴셜 스터핑의 경우 책임 소재가 모호하다. 실제 과거에는 크리덴셜 스터핑으로 피해가 발생할 경우 기업에게 책임을 물을 수 있을지에 대한 논란이 일기도 했다.
2018년 우리은행이 겪은 5만6000건의 개인정보 유출 사례가 대표적이다. 당시 5일에 걸쳐 3개 IP에서 85만회의 로그인 시도가 있었고 이중 5만6000명에게서 피해가 발생했다. 우리은행의 이상금융거래탐지시스템(FDS) 미흡에 대한 질타도 있었지만 동시에 동일한 아이디, 패스워드를 써 피해를 자초했다는 지적이 제기되기도 했다. 실제 우리은행은 해당 건으로 별도 제재를 받지는 않았다.
◇기술적·관리적 조치 의무
크리덴셜 스터핑으로 인한 피해가 잦아짐에 따라 제재도 강화되는 중이다. 개인정보위는 2023년 인터파크에게 10억원의 과징금을 부과하며 보호 조치가 미흡하다는 점을 지적했다. 비정상적인 접속 시도에 대응할 수 있는 차단 시스템을 갖추지 않았다는 것이다.
이는 개인정보보호법에서 규정하는 안전조치의무에 근거한다. '사회통념상 함리적으로 기대 가능한 보호조치'를 이행토록 요구하는 내용이다. 구체적으로 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한해 인가받지 않은 접근을 제한하고, 접속한 IP 등을 분석해 개인정보 유출 시도를 탐지·대응 하는 등의 규정이다.
크리덴셜 스터핑으로 인한 제재는 꾸준히 발생하고 있다. 지난 4월 인터넷 강의 서비스를 제공하는 디지털대성도 크리덴셜 스터핑에 대한 안전조치의무 위반으로 약 6억원의 과징금을 부과받았다. 채용 중개 기업 인크루트, 온라인 지불 시스템 운영사 페이팔 등도 제재받은 바 있다.
크리덴셜 스터핑 외에 SQL 인젝션과 같은 보안 취약점을 이용한 해킹도 기승을 부리고 있다. 해킹으로 인한 개인정보 유출이 이어지면서 제재는 정보 유출 발생 이전에 '정보 유출 발생 방지를 위한 노력'을 살피게 됐다. 기술 변화에 따른 판단 기준도 변경점을 보이는 만큼 기업들의 주의가 필요하다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >
best clicks
최신뉴스 in 전체기사
-
- 새 수장 영입한 KY PE…투자 영토 확장 나선 브레인운용
- [인사이드 헤지펀드]르네상스운용, '천보 투자' 미슐레6호 성공적 청산
- [LP Radar]한국벤처투자 조직개편, '지역벤처 활성화' 방점
- [미트박스글로벌 road to IPO]두달만에 재도전, 뚝 떨어진 몸값
- [i-point]신테카바이오, 그린데이터센터 '플래티넘' 인증 획득
- [thebell note]생보사 요양사업과 골드러시
- [thebell note]1위 저축은행의 리스크 관리 '품격'
- 강석훈 산은 회장 "부산 이전 계속 추진"
- 우리금융, 한일·상업 '동우회 통합' 전격 결정 배경은
- 최상목 대행 향한 F4 연대 눈길…배경엔 대외환경 급변
이종현 기자의 다른 기사 보기
-
- [포스트 망분리 시대 개막]망분리 규제 개선, 신기술 확산 '기회'
- [포스트 망분리 시대 개막]'10여년만 손질' 공공·금융 보안정책 리빌딩 본격화
- [i-point]씽크프리, CES 2025서 'AI 기반 미래 업무 환경' 시연
- K-AI 도약 원년의 해
- [i-point]비트나인, 사명 '스카이월드와이드' 변경
- [i-point]바이오솔루션, 카티라이프 미국 임상 2상 마무리 단계
- [프라이버시 리스크]이미지 하락에 과징금도, 기업 개인정보 유출 '이중고'
- [Company Watch]적자 지속된 샌즈랩, 새해 수익성 개선 집중
- [i-point]시노펙스, 탄소 배출권 첫 판매계약 체결
- [유증&디테일]'디지털트윈' 이에이트, 176억 규모 유증 추진