이상한 변호사 우영우가 본 쇼핑몰 개인정보 유출사건

최근 즐겨보는 드라마 중 박은빈 배우가 주연을 맡은 이상한 변호사 우영우에서 쇼핑몰 개인정보 유출사건을 다룬 에피소드가 있었습니다. 최근 개인정보보호법과 관련된 일을 하다보니 여러 법 체계에 대해 배울 수 있어서 재밌게 보고 있었는데, 제가 최근 올리고 있는 개인정보 유출사건과 관련된 에피소드를 다뤄서 굉장히 흥미로웠는데요. 해당 에피소드의 경우 실제 일어났던 인터파크의 개인정보 유출사건을 각색해서 방영한 것으로 보이는데, 이상한 변호사 우영우 드라마 속 개인정보 유출사건은 어땠는지 말씀드리도록 하겠습니다.

​

드라마 속에서는 라온이라는 쇼핑몰에서 DB 서버 담당자가 스피어피싱 메일을 받으면서 사건이 시작됩니다. 스피어피싱은 특정 회사나 개인을 목표 대상으로 하여 작살을 던져 공격을 하는 스피어(Spear)와 피싱(Phishing)이 합쳐진 단어입니다. 불특정 다수가 아닌 특정 대상을 공격한다는 점에서 일반 피싱과 조금 다른데, 드라마 속에서는 그 대상이 라온 쇼핑몰의 DB 서버 담당자였죠. 해커가 DB 서버 담당자와 메일을 주고 받는 지인의 메일 주소를 이용해서, 악성 매크로가 포함된 문서를 첨부해서 메일을 지인이 보낸 것처럼하여 담당자가 해당 문서를 열도록 유도했는데요.

​

그런데 현실에서도 최근 피싱 메일을 보면 문서형 악성코드가 굉장히 많죠. 드라마에서도 EXE 실행 파일 형태의 악성코드가 아닌 문서 형태였기에 백신에서 탐지하지 못했고, 담당자가 별 의심 없이 파일을 열어볼 수 밖에 없었다고 강조했었습니다. 악성코드가 감염된 이후에는 해커가 DB 서버에 직접 접속하여 라온 쇼핑몰 이용자의 개인정보를 유출할 수 있었는데요. 라온에서 개인정보가 유출되어 방송통신 위원회에서 과징금을 3000억을 부과했는데, 이에 부당함을 느낀 라온이 한바다 로펌에 소송을 의뢰하면서 이야기가 흘러가게 됩니다.

​

드라마 속에서 진행되는 소송의 쟁점은 크게 두 가지였는데, 첫 번째가 라온이 DB 서버에 로그인하여 접속할 수 있는 최대 시간을 제한하지 않았다는 점이었고, 두번째가 방통위에서 부과한 과징금이 과거와 비교했을 때 너무 많았다는 건데요. 우선 서버에 접속할 수 있는 제한 시간인 세션 타임아웃이라는 설정을 보통 한 시간으로 정해두도록 합니다. 개인정보보호법에서는 기업이 이러한 보안 설정을 안했을 때, 기업이 개인정보 보호 조치를 안했다고 판단하여 과태료를 부과할 수 있죠. 그런데 기업에서 이러한 개인정보 보호조치를 안해서 개인정보 유출로 이어진 경우 과징금을 물릴 수 있습니다.

​

문제는 라온에서 개인정보가 유출된 시점이 법이 개정된 이후였기에 이전과 달리 회사 관련 매출액의 3%까지 과징금을 부과할 수 있었고, 3000억이라는 과징금 때문에 회사가 도산할 수 도 있는 상황이었죠. 심지어 개정 이전에는 인과관계가 있어야 과징금을 부과할 수 있었는데, 개정 후에는 안전보호 조치 여부와 개인정보 유출 결과 사이에 인과관계가 없더라도 부과할 수 있었습니다. 드라마에서는 개인정보 유출 시점이 아닌 스피어피싱 메일을 받은 시점인 법 개정 전 하루 전날부터 해킹이 시작되었다고 봐야한다는 주장을 함으로써, 법정 싸움에서 승소하여 3000억의 과징금이 아닌 시정조치와 3000만원의 과태료로 끝날 수 있었죠.

 

[대중문화와 보안] 이상한 변호사 우영우가 본 ‘쇼핑몰 개인정보 유출사건’

 

이번 에피소드의 경우 실제 사이버보안 사건을 법적 측면으로 다루면서, 보안이나 법과 관련된 용어들을 굉장히 쉽게 풀어서 전달했기에 일반 시청자들도 무리 없이 드라마에 몰입하면서 볼 수 있었던 것 같습니다. 특히 기업의 보안 담당자들도 실제 사건을 바탕으로 한 내용이었기에 나름 신선했다는 평을 했는데요. 물론 지금은 개인정보 과징금을 부과하는 기관이 개인정보보호위원회인 것과 정보통신망법 관련 법들이 개인정보보호법으로 통합되었지만, 이런 내용들을 제쳐두더라도 여러 가지를 생각해 볼 수 있었던 좋은 에피소드였던 것 같습니다. 이와 관련하여 더 궁금하신 분들은 실제 인터파크 개인정보 유출사건을 찾아보면서, 드라마와 비교하여 보는 것도 좋은 경험이 될 것으로 보입니다. 그럼 이번 글은 여기서 줄이도록 하죠. 감사합니다.