개정 보호법 시행 이후 발생한 개인정보 유출 사건... D사와 G사의 쟁점은?
개정법 적용으로 개인정보 유출 사고 과징금 산정 기준에 온·오프라인 매출액 모두 포함
과징금 산정 매출액 범위... 개인정보 포함된 서비스 및 제품은 적용 가능성 높아


■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 13화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사


□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 개인정보 보호법이 개정되고 시행된 지 벌써 약 9개월이라는 시간이 지났는데요. 그 이후 한동안 개정법이 적용된 사례들이 나오지 않다가 최근 들어 개정법이 적용된 사례들이 속속 나타난 것으로 알고 있습니다. 이와 관련해 김진환 변호사님과 함께 개인정보 보호법 개정 그 이후에 발생한 실사례들을 통해 개인정보 관련 업무 담당자라면 꼭 유념하셔야 할 내용들을 살펴보겠습니다.

[D사·G사 개인정보 유출 사건 개요]
□ 이소미 기자
변호사님, 이번 개인정보 보호법이 전면개정 수준으로 강화되면서 개정 이후 발생한 개인정보 유출 사건·사고에 대해 꽤 강력한 처분이 내려졌을 것으로 예상되는데요. 어떤 사건들이 있었는지 소개해 주시죠.

■ 김진환 변호사
네, 말씀하신 것처럼 개인정보 보호법이 개정된 지 상당한 시간이 경과 했음에도 개정법을 적용해 처분이 이뤄진 사례가 없었습니다. 그러다 최근에 개정법을 적용한 처분이 내려진 두 개의 사건을 소개하고자 합니다.

가장 처음으로 개정법이 적용된 사례는 교육 서비스 콘텐츠 업체인 D사 사건이고요. 두 번째 사례는 레저 산업체 G사 사건입니다. 많은 분들이 G사 사건이 국내 기업에 대한 역대 최대 과징금액이 경신돼 널리 알려지는 바람에 최초의 개정법 적용 사례로 알고 계시는데, 사실 개정법 적용이 이루어진 첫 사례는 D사 사건이 맞습니다. 그리고 이 두 사건 모두 외부 공격자의 해킹으로 인해 개인정보가 유출된 사건입니다.

먼저 D사는 약 9만 5천 명의 개인정보가 유출됐고, G사의 경우는 약 221만 명의 개인정보가 각각 유출됐습니다. 그 결과 D사는 과징금 6억 1300만 원에 과태료 330만 원을, G사는 과징금 75억 원에 과태료 540만 원이 각각 부과됐습니다. 특히 G사의 경우, 국내 기업에 대한 역대 최대 과징금인 68억 원을 갱신하며 세간의 주목을 받았습니다.

다만. 잘 아시는 것처럼 국내 기업에 대한 역대 최대 과징금 액수는 그로부터 2주 후인 온라인 서비스 업체 K사에 부과된 151억 원 과징금에 의해 바로 갱신되기는 했습니다. 참고로 K사에 부과된 과징금은 개정법이 아닌 구법에 의해 과징됐습니다.

□ 이소미 기자
이 두 사건 모두 외부 해커의 사이버 공격에 의한 개인정보 유출 사고였습니다. 특히나 D사는 인터넷 강의 사업자로 입시를 준비하던 수험생들이 유출 피해자였죠. 그럼 이 사건들이 발생하게 된 구체적인 경위를 알아볼까요?

[D사·G사 개인정보 해킹 사건 발생 경위]
■ 김진환 변호사
우선 D사 사안입니다. 해커는 크리덴셜 스터핑 공격을 통해 회원의 계정을 탈취한 다음, 그 탈취한 계정을 이용해 불법 이용 신고 게시판에 악성 스크립트를 삽입하는 공격을 시도했고요. 이후 게시글을 열람한 직원들의 세션을 탈취한 다음, 관리형 웹 서비스에 있던 개인정보를 열람해 나갔습니다.


다음으로 G사의 경우, 해커가 밝혀지지 않은 불상의 방법으로 임직원의 계정을 먼저 획득했고요. 그 계정을 이용해 우선적으로 AD 서버를 장악한 다음, 그 AD 서버로부터 원격 접속이 허용된 파일 속으로 다시 접근한 후 해당 파일 서버에 저장돼 있던 각종 자료와 개인정보를 유출했습니다.


최종적으로 개인정보보호위원회(이하 개인정보위)는 두 사례 모두 개인정보의 안정성 확보 조치 기준 고시를 위반했다고 판단했습니다.

□ 이소미 기자
해당 사건들에 대해서는 저희 보안뉴스에서도 보도가 됐었는데요. D사의 경우, 보안 정책 관리 소홀과 취약점 점검 누락 등으로 안전조치 의무를 위반했고 유출 사실 인지 후에도 골든타임 72시간이 경과된 이후 해당 사실을 개인정보위에 통보하면서 유출 통지 의무까지 위반한 사례였습니다.

G사 사건은요. 랜섬웨어 감염으로 1차적으로 서비스 장애, 2차로는 다크웹에 탈취된 데이터가 유출된 사례였는데요. 여기서 유출된 개인정보로 추가적인 스미싱 공격까지 이어졌죠. 또한 개인정보에 대한 별도의 보안 관리나 또 암호화 조치가 부재했다는 점에서 안전조치 의무 위반에 해당했고, 이미 보유 목적이 상실됐거나 기간이 경과한 개인정보를 파기하지 않고 그대로 보관했다는 점에서 주민등록번호 처리 제한 및 개인정보 파기 위반에 해당된 사례입니다.

[개정 보호법에 따른 두 사건의 시사점]
□ 이소미 기자
변호사님, 만약 D사와 G사 사건에 개정 전 구법(舊法)이 적용됐다면 이번에 내려진 처분 결과와는 꽤 차이가 났을 것 같은데요. 이 두 사건이 개인정보 업무 담당자분들께 중요하게 시사하는 바는 무엇일까요?

■ 김진환 변호사
네, 몇 가지 있을 것 같습니다. 만약 두 사건 모두 개정법이 아닌 구법이 적용됐다면, 몇천만 원대 과징금이나 과태료와 같이 비교적 적은 금액의 제재가 부여됐을 사건으로 평가된다는 점입니다.

그런데 이들 사건 모두 개정법이 적용되면서 온라인상의 매출과 오프라인상의 매출 모두 과징금 산정 금액인 매출액에 포함됐기 때문에 이전에 비해 상당히 높은 금액의 처분이 내려진 겁니다. 특히 과거 개정법안이 논의될 당시 오프라인 사업자들은 상당한 우려감을 표했는데요. 그 이유는 오프라인 사업자의 경우, 기존에는 주민등록번호 유출을 제외한 나머지 항목에서 과징금 부과 대상이 아니었지만 새롭게 개정법이 적용되면서 전체 매출액에 대한 과징금이 부과된다는 점 때문이었습니다.

반면, 온라인 사업자들은 개정법 적용 이전에도 개인정보 유출 시 과징금 부과 대상이었기 때문에 ‘별로 바뀔 것 없다’고 생각해 크게 걱정하지 않았던 것도 사실입니다. 하지만 최근 개정법 적용 사례들을 보면, 과징금 산정 기준에 오프라인 매출도 포함되면서 온라인 기업 역시 전체 과징금 금액이 크게 오를 수 있다는 점을 유의해야 할 필요가 있습니다. 온라인 사업자라도 적지 않은 규모의 오프라인 매출이 발생하고 있는 곳이라면 더욱 그렇습니다.

끝으로 이들 사건에서 개인정보위가 과징금 산정에 고려할만한 매출액 범위를 정할 때 유출된 개인정보가 일부라도 이용되는 서비스나 제품인지를 먼저 판단합니다. 과징금 산정 기준은 유출된 개인정보가 이용되는 일체의 매출액이 기준입니다.

이러한 입장은 현재 개인정보위가 위반행위로 인해 직간접적으로 영향을 받는 제품이나 서비스의 범위를 꽤 넓게 보고 있다는 건데요. 예컨데 아이디·패스워드 같이 서비스나 제품별로 이용되는 개인정보를 별도 구분·설계하는 등의 특별조치를 취하지 않는 이상, 개인정보 처리자 입장에서는 이렇게 광범위한 관련성이 적용되는 부분을 피하기는 사실 매우 어렵습니다. 따라서 앞으로 사업자나 기관들의 고민이 더욱 늘어갈 수밖에 없는 부분이라 하겠습니다.

[마무리]
□ 이소미 기자
개정법 적용 이후 과징금 산정 기준 금액인 매출액 포함 범위가 확대됐다는 점을 가장 큰 변화로 꼽아볼 수 있겠는데요. 기존에 온라인 사업 매출액에 국한되던 부분이 이제는 오프라인을 포함한 전체 매출액까지 해당된다는 사실에 주목해야겠습니다.

따라서 기업이 제공하는 서비스나 제품 내에 개인정보가 조금이라도 포함된다면, 유출 사고 발생 시 매출액으로 적용될 가능성도 염두에 두셔야겠고요. 역시 보호법 개정과 함께 기업들이 유의해야 할 사항들이 훨씬 많아진 것 같습니다.

저희 ‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.

이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.

저희는 다음 시간에 더욱 흥미로운 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>