[프라이버시 리스크]이미지 하락에 과징금도, 기업 개인정보 유출 '이중고'해킹 통한 개인정보 유출 사고 기승…통지·신규 제재 강화
이종현 기자공개 2025-01-03 10:00:13
[편집자주]
개인정보 보호가 기업의 새로운 리스크로 떠올랐다. 세계 각국은 자국민의 개인정보를 지키기 위한 법 체계를 강화하는 경쟁을 벌이고 있다. 법 위반에 따른 제재도 강화되면서 수조원대 과징금을 부과받은 사례도 나타났다. 데이터를 핵심 자원으로 삼는 AI 시대의 도래로 '프라이버시 리스크'는 더 커질 것으로 예상된다. 개인정보 보호를 둘러싼 국내외 동향과 이에 대응하는 기업·기관의 움직임을 살펴본다.
이 기사는 2024년 12월 17일 07시44분 thebell에 표출된 기사입니다
다만 개인정보보호법이 점차 강화되면서 내부자에 의한 개인정보 유출 사례는 점차 줄어드는 추세다. 종종 발생하는 사례들 상당수는 악의를 가진 행위라기보다는 단순 실수에서 비롯하는 경우가 주를 이룬다. 최근에는 내부보다는 해커에 의한 공격으로 인한 유출 사고가 더 빈번하다.
기업에서 개인정보 유출 사고가 발생할 경우 기업 신뢰도와 이미지에 타격을 주는 만큼 쉬쉬하고 넘어가는 경우가 잦았다. 그러나 관련 법이 개정되면서 유출이 발생할 경우 통지·신고를 의무화하면서 사고를 은폐하는 행위는 위법이 됐다. 기업을 향한 제재 그물망이 점차 촘촘해지는 모습이다.
◇해킹으로 인한 개인정보 유출 빈번
개인정보 보호에 대한 관심이 커지면서 관련 법령은 빈번하게 개정되고 있다. 2020년 8월 1차 개정 이후 2023년, 2024년 추가 개정이 이뤄졌다. 시행령의 개정은 더 활발하다. 2020년 8월 이후 9번의 개정이 이뤄졌다.
시시각각 달라지는 규정 중 눈길을 끄는 것은 2023년 9월 개정 시행령이다. 외부로부터 불법적인 접근에 의해 개인정보가 유출된 경우라는 구체적인 사항이 삽입됐다. 담당자의 실수나 시스템 오류 등을 제외한 대부분의 기업 개인정보 유출이 외부 침입, 해킹에 의해 이뤄지는 것을 반영한 결과다.
개인정보보호위원회(이하 개인정보위)는 개인정보 유출을 일으키는 대표적인 해킹 수법으로 △여러 경로를 통해 수집한 계정, 비밀번호 등 개인정보(Credential)를 특정 사이트에 방문해 무작위로 대입(Stuffing)하는 '크리덴셜 스터핑' △서버의 파일 시스템 경로를 악의적으로 변경하는 '파라미터 변조' △취약점을 이용해 악의적인 SQL 코드를 삽입하는 'SQL 인젝션' 등을 꼽는다.
3개 수법 모두 시스템의 허점을 이용한 것으로 사전 보안 조치를 충실히 했다면 막을 수 있다. 하지만 오래 전 설계한 시스템을 운영하고 있거나 보안에 신경을 쓰지 않을 경우 해커가 마음만 먹으면 언제든지 유출될 수 있다. 실제 다크웹 등에 유통되는 한국인 개인정보는 관리가 미흡한 중소기업에서 탈취된 정보가 주를 이룬다.
매출액이 적은 기업의 경우 과징금도 적게 책정된다. 하지만 과징금이 적다고 해서 사태의 심각성도 적다고 보기는 어렵다. 가령 지난 11월 5일 과징금 5110만원을 부과받은 재태크 관련 동영상 서비스 사업자를 통해 유출된 것은 10만명 이상이다. 이런 데이터는 크리덴셜 스터핑 등 추가 해킹을 위한 재료로 활용되기 때문이다.
개인정보위는 개인정보 지식센터의 '해킹사고로 바라본 개인정보 유출'을 통해 "기업들은 자신이 비즈니스를 하는 분야에서 현장에 안착된 필수 조치(de facto standard)가 어디까지인지 파악하고 선례·판례에서 쓰였던 고려요소를 참고하는 등 보편적으로 요구되는 보호조치 규범이 어느 수준인지를 파악하려는 노력을 지속해야 한다"고 강조했다.
◇개인정보 유출시 72시간 이내 통지·신고 의무
이미지 하락과 제재를 피하기 위해 상당수 기업들은 유출 사실을 은폐하는 것을 택하곤 한다. 보안업계 종사자들은 통계상 집계되는 수치는 실제 유출의 일부일 뿐이라며, 양지화하는 것이 필요하다고 말한다.
개인정보보호법은 이와 관련된 내용도 구체화하고 있다. 2020년까지만 하더라도 개인정보 유출 신고는 오프라인 사업자의 경우 5일 이내, 온라인 사업자는 24시간 이내 등으로 분리돼 운영됐다. 하지만 2023년 개인정보가 분실·도난·유출될 경우 온·오프라인 모두 72시간 내에 정보주체에게 알리고 신고토록 개정했다. 민감정보, 고유식별정보 유출에 대한 신고 의무가 적시된 것도 이때다.
다만 유출 통지·신고 지연의 처벌은 과태료 3000만원 이하로 무거운 편은 아니다. 일각에서는 관련 벌금액이 적어 실효성이 떨어진다는 지적도 제기된다. 다만 벌금액을 과도하게 산정할 경우 더더욱 유출 사실을 은폐할 수 있다는 반론도 나온다.
개인정보위가 통지·신고 지연 제재는 2022년 10여개 사업자에서 2023년 20여개 사업자로 2배가량 증가했다. 올해는 11월까지 15개 사업자로 전년보다 줄어든 수준이다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >
best clicks
최신뉴스 in 전체기사
-
- [Red & Blue]'원격의료' 인성정보, 'AI 홈닥터' 추진 '눈길'
- [SK스퀘어의 새판짜기]'흑자' 인크로스, 계열사와 다른 '사업 확장' 노선
- [i-point]아이티센코어, 멀티모달 AI 기업 맥케이와 기술협력
- [i-point]포커스에이아이, '원 아이디 솔루션' 출시 목전
- [보험사 CSM 점검]삼성화재, 계리적 가정 변경 여파…물량 공세로 극복
- [금융사 KPI 점검/우리은행]정진완 행장 '개인·중기' 고객 증대에 영업력 집중
- [우리금융 동양생명 M&A]안건소위 편입 승인 논의 본격화, 관건은 '내부통제 개선'
- 우리카드, 감사위 재정비…'관 출신'으로 무게 실었다
- [캐피탈사 리스크 관리 모니터]한국캐피탈, 리테일 관리 모델 최적화…부도 위험 필터링 강화
- [애큐온은 지금]두 번의 대주주 교체, 인수합병 거쳐 복합금융그룹으로 성장
이종현 기자의 다른 기사 보기
-
- [Red & Blue]'원격의료' 인성정보, 'AI 홈닥터' 추진 '눈길'
- [i-point]아이티센코어, 멀티모달 AI 기업 맥케이와 기술협력
- S2W, 이노션 'AI 얼라이언스' 참여
- [i-point]샌즈랩-케이사인, 한전KDN 양자내성암호 시범 전환사업 수주
- [거래재개 노리는 코스닥사]본느, 3개월 만에 상장유지 결정 '이사회 전면 개편'
- '빅데이터' 뉴엔AI, 코스닥 상장 예심 4개월만 통과
- [i-point]라온시큐어, 정부 양자내성암호 시범사업 선정
- [i-point]아이티센그룹-경기혁신센터, '유니콘 브릿지' 참여 기업 모집
- [Sanction Radar]제일엠앤에스 "기존대로 수익인식, 회계법인 이견"
- [거래재개 노리는 코스닥사]디엠씨 품은 엔지스, 개선기간 전 체질개선 '총력'