이전에 유튜브나 TV를 보다 보면, 김혜수 배우가 찍은 "발란"이라는 온라인 명품 쇼핑몰 광고를 볼 수 있었습니다. 이전에는 꽤 뜨는 유니콘 기업이기도 하고 유명한 배우가 찍었기 때문에, 지난 8월 개인정보 유출로 인해 발란에 5억 이상의 과징금을 부과했다는 기사를 보고 좀 놀라웠었는데요. 어떻게 개인정보가 유출되었고, 어떤 것들을 위반했기에 5억이라는 과징금을 받았는지 궁금해서 찾아봤는데 오늘은 이 부분에 대해 자세히 말씀드리고자 합니다. 특히 과징금을 부과한 내용과 함께 개인정보보호법에서 명시하는 기술적인 안전조치에 대해 조금 더 상세하게 설명드리도록 하죠.
우선 발란에서는 지난 3월과 4월 두 차례에 이은 해커의 공격으로 160만 여건의 고객명, 주소, 전화번호 등의 개인정보가 유출되었다고 합니다. 심지어 소셜 로그인 기능의 오류로 자신의 개인정보가 다른 이용자에게 노출되는 사고도 발생했다고 하죠. 또한 발란에서는 개인정보 유출 사고 사실을 이용자에게 통지하는 과정에서 유출된 개인정보 항목과 유출시점을 명시하지 않고 통지했습니다. 발란에서 위반한 개인정보보호법 항목으로는 기술적인 안전조치의무 위반과 개인정보 유출통지 위반으로 볼 수 있습니다.
발란에서 위반한 기술적 안전조치 사례에 대해 좀 더 자세히 설명드리면, 발란에서는 사용하지 않는 관리자 계정을 삭제하지 않고 방치하고 개인정보처리시스템에 접근하는 IP를 제한하는 등 접근통제를 제대로 하지 않았습니다. 일반적으로 개인정보를 볼 수 있고 처리하는 시스템을 관리자 페이지를 통해 접근하게 되는데, 비인가자가 접근할 수 없게 특정 IP만 접근할 수 있도록 기술적인 보호 조치를 취해야 하는데요. 발란에서는 외부망에서 관리자 페이지를 접근할 수 있도록 했고, 관리자 계정의 관리도 소홀했기 때문에 해커가 쉽게 접근할 수 있었던 것으로 보입니다.
일반적으로 개인정보보호법은 개인정보를 처리하는 개인정보처리자가 지켜야하는 의무 사항에 대한 법률인데, 발란처럼 쇼핑몰 같은 정보통신서비스제공자 등의 특례 조항을 적용한 규제 법률의 영향을 받습니다. 즉, 개인정보보호법에서 명시한 의무 사항을 지키지 못하면 법적인 절차에 따라 형사 처벌과 손해 배상의 책임을 지게 되죠. 발란과 같은 스타트업에서는 이용자를 모집하기 위해 기능 개발에만 주력하다보니 정작 정보보호에는 소홀한 경우가 생기게 되는데요. 발란이 작년 기준으로 매출액이 500억을 넘었다는데 정보보호에 얼마나 투자했을지가 궁금합니다.
온라인 쇼핑몰 ‘발란’ 고객 개인정보 유출로 과징금 5억
해킹으로 고객의 개인정보가 유출된 온라인 명품 플랫폼 ‘발란’이 보호조치를 제대로 하지 않은 것이 드러나 과징금·과태료 처분을 받았다. 개인정보보호위원회(위원장 윤종인, 이하 ‘개인
www.boannews.com
사실 5억이라는 과징금으로만 봤을 때 현재 발란에 보안을 담당하는 인력이 얼마나 있을지는 모르겠지만, 저 돈으로 경력이 있는 보안 인력을 추가로 더 채용했다면 내실도 튼튼히 갖추고 불필요한 과징금을 낼 필요도 없었을지 모릅니다. 최근 개인정보 보호의 중요성이 더 강화됨에 따라 개인정보보호법을 위반하여 과태료를 내는 기업들이 많아지고 있는데요. 날이 갈수록 해킹 시도가 많아지기 때문에 많은 기업에서 좀 더 보안에 투자하여 이용자들의 개인정보를 좀 더 안전하게 보호했으면 합니다. 그러면 이번 글은 여기서 마무리하겠습니다. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 한글 매크로 및 OLE를 이용한 악성코드 사례 (0) | 2022.11.10 |
|---|---|
| 현직 경찰 신분증 도용한 피싱 메일 사례 (0) | 2022.11.03 |
| 디지털 포렌식 활용한 압수수색 요건 강화 사례 (0) | 2022.10.20 |
| 카카오 화재로 본 ISMS-P 인증 실효성 논란 (0) | 2022.10.19 |
| 데이터센터 화재로 인한 카카오톡 먹통 사태 (1) | 2022.10.18 |
댓글