‘최악의 데이터 침해 사건’의 기록을 갈아 치우게 된 지불결제 처리업체 하트랜드 페이먼트 시스템즈가 결국 법률 소송에 휘말리게 됐다.

지난주 펜실베니아 주재 법률 회사 Chimicles & Tikellis LLP는 하트랜드 페이먼트 시스템즈(Heartland Payment Systems Inc.)가 침해 사실을 고객에게 알리는 것을 지체했으며 민감한 데이터를 보호하는데 실패했다고 주장하며 하트랜드를 상대로 소송을 제기했다. 이번 소송은 하트랜드 침해 사건에 대한 첫 번째 법률 소송으로, 이후 유사한 소송이 이어질 가능성이 높아 관심이 집중되고 있다.

하트랜드에 대한 이번 첫 집단 소송에서 Chimicles & Tikellis LLP사는 하트랜드가 비자와 마스터카드의 신용카드 사기 공지를 받기 전까지 침해 사실을 알지 못했으며 이 업체는 PCI DSS가 요구하고 있는 모든 통제를 실시하고 있지 않았다고 주장하고 있다. 이들은 또한 이 업체가 오바마 미 대통령의 취임식과 같은 날 자사 침해 사건에 대한 성명을 발표한 의도가 의심스럽다며 “미심쩍은 타이밍”이라고 지적했다. 아울러 이 업체가 피해 고객들에게 적절한 보상을 제공하지 않고 있다고 주장하고 있다.

특히 “분명 미국 전역의 수백만 명의 고객들이 민감한 금융 정보를 손상당했으며 사생활 권리를 침해당했다. 또한 비인가된 신용카드 요금이 청구됐거나 신용도용 위험에 처했으며 또 다른 손실을 겪고 있다”고 소장은 강조하고 있다.

불과 얼마 전까지만 해도 사상 최대의 데이터 침해 사건으로 기록됐던 2007년의 TJX 데이터 유출 사건 당시, 은행과 고객들을 대신해 수많은 소송이 제기됐던 것으로 미루어볼 때 이번 하트랜드사 침해 사건 역시 Chimicles & Tikellis LLP사의 집단 소송을 시작으로 이와 유사한 소송이 이어질 가능성이 높다.

하트랜드사는 25개의 소규모 업체들을 대신해 매달 약 1억 건의 신용·지불 카드 트랜잭션을 처리하는 업체다. 따라서 이 업체가 알려진 바와 같이 지난해 10월에 침해당했다면 그 규모는 역대 최대가 될 것이라고 외신은 전하고 있다.

한편, 지난 주 하트랜드의 회장 겸 CEO 로버트 카(Robert Carr)는 성명을 통해 이번 침해 사건에 대해 사과의 뜻을 밝혔다.

그는 “지난해 우리 프로세싱 시스템 내에 발생했던 데이터 침해로 야기된 모든 불편에 대해 진심으로 유감스럽게 생각한다”며 “하트랜드는 이번 침해로 인한 우려를 잘 알고 있으며 우리는 이 사건을 대중과 카드 발행업체 및 그 외 지불 프로세스 업체들을 위해 긍정적인 결과로 전환하기위해 노력하고 있다”고 밝혔다.