통보 의무화시 고객 피해 최소화시킬 수 있어...우리나라는?

[보안뉴스 호애진] 미국 최대 의료보험사인 웰포인트가 지난해 발생한 데이터 침해 사고와 관련, 고객에게 즉시 알리지 않은 데 대해 12일 벌금 10만 달러를 선고받았다.

웰포인트는 2010년 2월 22일과 3월 8일에 발생한 데이터 침해 사고에 대해 제보를 받고 해당 사이트에 대해 보안 조치를 취했지만 이를 고객에게 3개월 동안 통보하지 않아 10만 달러를 물게 됐다.

 

인디애나주 법에 따르면 기업은 데이터 침해 사고에 대해 고객 및 검찰에 즉시 고지하도록 규정돼 있다. 비록 웰포인트가 사고가 난 후 바로 해당 사이트에 대해 보안 조치를 취했지만 수개월이 지난 6월 18일이 돼서야 고객들에게 통보를 했기 때문에 검찰에 기소를 당했다.

해당 데이터에는 3만2천명의 사회보장번호, 건강기록, 여타 개인정보가 담겨 있었다. 웰포인트는 이들의 개인정보보호를 위해 최대 2년간 신용 모니터링과 신분 도용 보호를 제공하는 한편 이로 인한 손실에 대해서 최대 5만 달러까지 배상하기로 했다.

웰포인트는 6월 18일 미 전역 47만 고객들에게 데이터 침해 사고에 대해 통지했으며, 고객이 신청하는 보험의 진행 상황을 추적하는데 사용하는 한 온라인 프로그램을 침해의 원인으로 지목했다. 아울러 데이터 침해 사고로 인한 피해는 보고받지 못했다고 밝혔다.

그레그 조엘러(Greg Zoeller) 인디애나주 검찰총장은 “이번 사례는 고객의 개인정보를 다루는 기업들에게 교훈이 될 것”이라면서 “데이터 침해 사고가 발생하면 고객과 검찰에 신속히 통지해 향후 고객에게 일어날 수 있는 피해를 최소화 시켜야 한다”고 밝혔다.

우리나라의 경우 데이터 침해 사고에 대해 기업이 고객에게 고지할 의무는 없다. 다만 개인정보가 유출된 경우에 한해 올 9월 30일 시행될 개인정보보호법에 따라 기업은 고객에게 유출 사실을  반드시 통보해야 한다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>