통신사·이커머스서 또 발생…처벌은 솜방망이
[위클리서울=방석현 기자] “내 개인정보가 750원이라니…”
최근 잇따라 발생하는 개인정보 유출 사건이 도마 위에 올랐다. 정보 관리 소홀로 많은 소비자들이 피해를 입었지만 보상 및 처벌이 제대로 진행되는 경우는 거의 없기 때문이다.
국회 과학기술정보방송통신위원회 소속 박완주 무소속 의원 개인정보보호위원회로부터 제출받은 자료에 따르면, 최근 5년간 LG유플러스가 개인정보 유출 및 정보 관리 소홀로 인해 처분 받은 건수는 5건으로 이동통신사 중 가장 많았다.
그러나 지난 2018년 발생한 2만 6504건의 고객 개인정보 유출에 대한 처분은 과태료 2000만 원에 불과했다. 2021년 12월 발생한 2만 9546건의 임직원 개인정보 유출에 따른 과태료는 600만 원으로 솜방망이 처벌을 받았다. 2018년 과태료 2000만 원을 단순 개산해보면 한 명의 개인정보 가치가 750원 수준에 불과하다는 지적이 나온다.
박 의원은 “개인정보 유출 사고가 지속적으로 반복되는 근본 원인은 결국 처벌이 약하기 때문”이라고 비판했다.
통신사 정보 유출 ‘또’
개인정보 유출 사건은 지속 반복되고 있다. 지난 1월 10일, LG유플러스는 또 고객 개인정보 유출 사건의 주인공이 됐다. 당시 회사 측은 홈페이지 공지사항을 통해 “일부 고객의 개인 정보가 유출된 사실을 인지했다”며 “소중한 정보가 부적절하게 이용될 수 있으니 유의해 주기 바란다”고 말했다.
이어 “고객들에게 심려 끼쳐 드린 점에 대해 고개 숙여 사과의 말씀을 드린다. 수사에 적극적으로 협조할 것”이라며 “추후 모니터링 시스템 강화 등 고객 정보보호에 최선의 노력을 다하는 한편 조사 결과에 따라 재발 방지 대책을 마련하겠다”고 밝혔다.
당시 LG유플러스가 발표한 바에 따르면 개인 정보가 유출된 고객 수는 18만 명이다. 성명과 생년월일, 전화번호 등이 포함됐으며 납부와 관련된 사항은 유출되지 않았다는 게 회사 측 설명이다. 유출 피해를 본 고객 각자에게 문자와 이메일 등을 통해 고지했다.
그러나 고객수와 유출된 항목은 처음 알려진 것과 달랐다. 개인정보보호위원회 등의 조사 결과, 성명과 생년월일, 전화번호 외에도 가입자 고유식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심번호, 이메일, 가입일, 가입 상품명 등이 함께 포함된 것으로 드러났다. 유출 고객 수도 18만 명에서 29만 명으로 늘어났다.
설상가상으로 LG유플러스 1월 29일에도 간헐적 인터넷 접속 장애가 발생하기도 했다. 오전 2시 56분께 약 19분간, 오후 5시 58분께부터 약 22분간 2차례 발생했다. 이에 해당 통신사를 사용하는 자영업자 및 기업 일부는 피해를 입기도 했다. 회사 측은 이를 분산서비스거부(DDoS·디도스)로 추정하고 있다.
황현식 LG유플러스 대표는 지난 2월 16일, 정보보호 투자액을 1000억 원으로 늘리겠다고 발표했다. 보안 강화를 위해 전사정보보호·개인정보보호책임자(CISO·CPO)를 대표 직속 조직으로 강화하고, 영역별 보안 전문가를 영입하겠다는 계획이다.
황 대표는 “정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객들에게 진심으로 사과드린다”며 “뼈를 깎는 성찰로 고객에게 더 깊은 신뢰를 주고 보안과 품질이 가장 강한 회사로 거듭나겠다”고 말했다.
LG유플러스는 피해를 본 가입자를 대상으로 유심 교체를 진행했다. 교체 시작 3일만에 2100건 이상이 교체됐다. 개인정보 유출 피해가 없는 가입자도 3월 1일부터 유심을 무상으로 교체 가능하다. 과방위 소속 여야 의원들은 “피해 고객들이 계약 해지를 원할 경우 위약금을 받지 말아야 한다”고 한목소리를 냈다.
이커머스도 보안 ‘허술’
이커머스 역시 지속된 보안 문제로 여론의 뭇매를 맞았다. G마켓은 지난 1월 판매하던 상품권이 도용되는 사태가 발생했다. 고객들이 선결제로 구매만 하고 보관 중이던 미사용 상품권이 이미 ‘사용처리됐다’는 사례가 속출한 것.
누리꾼들은 온라인 커뮤니티를 통해 “G마켓에서 컬쳐랜드 상품권을 구매했는데 이미 사용처리가 됐다”, “내 상품권 역시 게임사에서 이용됐다는 상담원의 통보를 받았다”, “쓴 적이 없는데 잔액이 0원이 됐다”라고 호소했다.
사건 초반에는 해킹으로 알려졌으나 이는 ‘크리덴셜 스터핑’으로 밝혀졌다. 사전에 확보한 개인 정보를 다른 웹사이트에 무작위로 대입해 로그인이 성공하면, 필요한 정보를 빼가는 수법이다.
G마켓 측은 “사건 인지 즉시 아이디와 비밀번호 변경 요청 및 본인인증 절차 강화를 통해 추가 피해를 막으려는 조치를 했다”며 “사고 조사가 완료되는 대로 적극적인 피해 보상도 진행할 예정”이라고 밝혔다.
인터파크 역시 지난 1월 10일 공지사항을 통해 개인정보 유출 의심에 대한 안내를 했다. 회사 측은 “신원 불상의 자로부터 사전 수집된 것으로 추정되는 계정정보를 이용한 로그인 시도가 발생했음을 확인했다”며 “유출(의심)으로 인한 추가 피해가 발생하지 않도록 관계기관과 긴밀하게 협조하고 있다”고 공지했다.
인터파크는 앞서 지난 2016년에도 개인정보 유출 사고로 과징금을 내고, 회원 2400여 명에게 1인당 10만 원의 손해배상금을 지급한 바 있다.
가장 최근에는 CJ올리브영이 시스템 오류로 1만 명의 개인 정보를 유출하는 사고를 냈다. 고객이 ‘마이페이지’에 들어갔을 때 자신이 아닌 타인 이름과 주소, 프로필 사진, 주문내역, 회원등급, 적립금 보유액 등이 보이는 상황이었다. 올리브영 멤버십 회원 수는 지난해 상반기 기준으로 1100만 명이 넘는데, 회사는 사고 피해자를 1만여 명으로 추정했다.
사건 발생 뒤 개인정보 노출 고지와 당국 신고도 6일이나 늦게 해 논란이 커졌다. 고객 신고로 2월 16일 사실을 인지했으나, 한국인터넷진흥원에는 22일에서야 신고했기 때문이다. 이에 개인정보보호위원회는 다음 날인 23일, 이번 개인정보 유출 사고에 대해 조사에 착수했다.
개인정보위 측은 최근 보도자료를 통해 “온라인쇼핑몰을 중심으로 크리덴셜 스터핑 등 계정정보 도용 사례가 빈발하고 있어 온라인 쇼핑몰 이용자와 기업들의 각별한 주의가 요구된다”고 말했다.
또 CJ올리브영에 대해서는 “이용자에게 유출 통지·신고 기한 준수가 적법하게 이루어졌는지와 유출 경위 및 규모, 기술적·관리적 보호조치 위반 여부 등 ‘개인정보 보호법’ 위반에 대해서 조사할 것”이라며 “위반사항이 확인되면 행정처분하고 재발방지 대책 등을 마련토록 할 예정”이라고 덧붙였다.
피해는 가입자 몫
통신사와 이커머스 개인정보 유출의 피해는 고스란히 가입자들의 몫이다. 피해 사실을 개인이 직접 증명해야 하기 때문이다. 앞서 한국소비자단체연합은 LG유플러스 사고와 관련해 재발방지 대책 마련과 신속한 보상을 촉구했다.
한소연은 “지난해 12월 LG유플러스 고객으로부터 ‘본인도 모르는 사이 고가 요금제로 바뀌었다’는 신고가 잇따랐다”며 “당시 LG유플러스는 누군가가 유출된 고객 정보를 이용해 홈페이지에 접속한 이후 무단으로 요금제를 바꾼 것으로 보인다고 설명했었다”고 주장했다.
이어 “이미 징조가 있었음에도 안일하게 대처했고 사태 발생 일주일 이상 지난 이후에 이를 공지한 것은 늦장 대응”이라며 “해킹 사실을 처음 인지한 것이 자체 보안 문제 발견이 아닌 한국인터넷진흥원의 연락을 받고 알게 됐다는 것은 보안 불감증을 보여주는 심각한 문제”라고 꼬집었다.
소비자주권시민회의도 과거 2012년과 2014년 KT 가입 소비자들의 개인정보가 유출된 사건의 소송과 관련해 목소리를 냈다. 당시 소송에서 소비자 1837명은 “1인당 50만 원을 배상해 달라”고 요구했지만 패소했다.
당시 2012년 피해자 100명이 낸 소송의 경우, 1심은 KT의 책임을 인정했지만 2심과 대법원은 고의성이 없다고 판단해 KT의 손을 들어줬다. 다른 정보 유출 피해자 342명이 낸 손해배상 소송 역시 원고 패소로 끝이 났다. 지난 2014년 발생한 KT의 대규모 개인정보 유출 때도 1170만 건에 대한 책임이 인정되지 않았고, 5000만 원의 과징금만 부과됐다.
소비자주권은 “기업이 주의의무를 소홀히 했음에도 소비자가 정보 유출 피해 정도를 확실하게 입증하지 못한다면 기업을 상대로 손해배상 소송에서 이길 확률은 지극히 낮다”며 “기업의 개인정보유출 사건이 끊임없이 반복되는 이유”라고 비판했다.
박완주 의원 역시 개인정보 유출 관련 부처 간 업무 소관이 모호한 것도 피해자 보호 조치를 미흡하게 한다고 지적했다. 한국인터넷진흥원에 상담과 신고 접수를 하더라도, 피해자를 위한 구체적인 조치를 할 수 있는 권한은 없기 때문이다.
지난해 한국인터넷진흥원에 요청된 개인정보 유출 관련 상담건수는 14만 9680건에 달했고, 2021년 20만 2923건, 2020년 17만 6366건이었다. 신고 건수는 지난해 1923건, 2021년 7844건, 2020년 191건이었다.
그러나 개인정보보호위원회의 조정 건수는 2021년 870건, 2020년 431건, 2019년 352건에 불과했다. 개인정보 유출 및 침해, 기술 조치 등과 관련된 건은 2021년 98건, 2020년 72건, 2019년 85건으로 한국인터넷진흥원의 상담·신고 건수에 비하면 현저히 낮다.
박 의원은 “개인정보 유출의 위험이 날로 고도화되면서 지난 2020년 개인정보보호위원회가 출범했지만 과연 국민의 개인정보가 안전하게 보호되고 있는지, 피해 발생 시 보호 조치와 2차 피해 예방, 적절한 배상 제도가 마련돼 있는지 근본적으로 점검해야 한다”며 제도 개선 마련을 촉구했다.