• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

코웨이 198만명 고객정보 유출사건이 남긴 과제는? 2013.02.08

코웨이 영업직원이 렌탈 고객정보 외부 유출...내부자 관리 구멍  

개인정보 관련 업무 인원 최소화 및 보안관리 강화해야


[보안뉴스 김태형] 2월 7일 올해 첫 개인정보 유출사건이 발생했다. 코웨이(구 웅진코웨이)가 고객정보를 대량 유출시켜 파문이 일고 있는 것. 이 역시 내부 직원에 의한 고객정보 유출사건이어서 내부보안의 중요성이 다시금 주목받고 있다.

    


그동안 많은 보안전문가들이 정보유출의 80% 이상이 내부자에 의해 발생하고, 특히 내·외부 인가자에 의한 정보의 부정 사용이나 오·남용이 전체 보안사고의 70% 가량을 차지하고 있다는 통계를 들어 내부정보 보안을 위한 보안체계의 중요성을 강조해 왔지만 기업의 실질적인 대응능력은 미흡했던 게 사실이다.


이처럼 이번 사건은 기업이 내부 정보의 사용권한을 보유한 내·외부 인가자가 PC, 서버 등 각 단계에서 발생 가능한 내부정보의 유출을 예방 또는 차단할 수 있는 내부보안 및 개인정보보호체계의 재정비 필요성을 다시금 일깨워주고 있다.   

코웨이측은 7일 “지난 6일 경찰로부터 정수기와 비데 등의 렌탈 서비스 가입 고객 198만명의 이름, 주소, 전화번호, 사용제품 정보 등이 유출됐다는 통보를 받았다”고 밝히고 조속한 사태 수습에 나서겠다고 밝혔다.

코웨이에 따르면 정수기, 공기청정기, 비데 등의 주력 상품의 렌탈 서비스 가입 고객의 절반이 넘는 198만명의 이름과 전화번호, 주소 등의 개인정보가 내부 영업사원에 의해 유출됐다면서 자사 홈페이지에 개인정보유출 사고 내용을 공지했다.

이에 앞서 코웨이는 지난해 12월 중순경 고객정보가 외부로 유출됐다는 제보를 받고 다음날 경찰에 신고한 것으로 알려졌다.

경찰에 따르면 “코웨이의 영업직원 한 명이 지난해 6월말 고객정보를 취합해 빼낸 사실을 확인하고 회사측에 통보했다. 경찰은 유출정보의 원본 파일을 회수했지만 고객정보를 빼낸 영업 직원이 이를 어디로 넘겼는지는 아직 수사중”이라고 설명했다.

웅진그룹의 붕괴로 인해 분리 매각된 웅진코웨이는 코웨이로 사명을 바꾸고 실추된 기업 이미지와 경영 정상화를 위해 노력하고 있는 가운데 발생한 이번 정보유출 사건은 향후 코웨이가 정상적인 비즈니스를 이어가는데 있어서도 큰 영향을 미칠 것으로 보인다.

이에 코웨이 측은 주민번호나 금융정보 등과 같은 치명적인 개인정보가 유출된 것이 아니기 때문에 2차 피해 발생 우려가 없으며, 전산망 해킹에 의한 것은 아니라고 밝히면서 신속한 사태 수습을 위해 분주하게 움직이고 있다.

한 보안업계 관계자는 “이러한 사건이 매번 반복된다는 것은 내부보안에 대한 경계심이 느슨해졌기 때문이다. 내부보안이나 개인정보보호에 대한 기술적인 부분은 지속적으로 논의되고 추진되어 왔지만 기업 경영진들의 보안의식은 아직 높지 않은 것이 문제”라고 지적했다.

또한, 그는 “기업 경영진이나 보안담당자들은 보안의 중요성에 대해 인식하면서도 이러한 정보유출 사건에 대해서는 경각심이 줄어들고 점점 만성화되어 대수롭지 않게 생각하는 것이 가장 큰 문제다. 무엇보다 기업은 기술적·관리적·제도적 보안대책에 대해 다시 한번 철저히 점검하고, 실질적인 대책 마련에 나설 필요가 있다”고 강조했다.

이번 사건과 관련해 법무법인 민후 김경환 대표변호사는 “아직 정확한 수사 결과가 나오지는 않았지만 객관적인 사실만을 가지고 봤을 때 코웨이 사건과 같이 내부직원이 개인정보를 유출시킨 경우, 해당 직원은 개인정보보호법 제59조(개인정보 누설 등 금지행위) 위반으로 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있다”고 말했다.


이어서 그는 “코웨이 측은 직원에 대한 적절한 관리감독 조치를 취해야 하고, 적절한 관리적 또는 기술적인 안전성 확보조치를 다해야 하는데(제29조), 이러한 의무를 다하지 못해 개인정보가 유출됐다면 회사 측도 사안에 따라 5천만원 이하(제59조의 경우) 또는 1천만원 이하(제29조의 경우)의 벌금에 처해진다”고 덧붙였다.


이와는 별도로 3천만원 이하의 과태료가 부과될 수 있고, 유출된 개인정보의 주체들에 의한 손해배상청구 민사소송도 가능하다는 것이 김 변호사의 설명이다.


또한, 그는 “직원들에 의한 개인정보 유출이 개인정보 유출사건에서 가장 빈번한 유형이다. 기업 등에서는 이러한 내부자에 의한 개인정보 유출사고를 막기 위해서 개인정보를 다루는 사람들을 최소화하고, 개인정보를 다루는 사람들이 접근할 수 있는 개인정보 역시 최소화해야 한다”면서 “무엇보다 DB접근통제를 위한 보안 시스템 구축과 보안정책 수립이 가장 중요하고, 이와 함께 직원들에 대한 보안의식 제고 노력이 수반되어야 할 것”이라고 강조했다.

 

이처럼 이번 코웨이의 고객정보 유출사건은 다른 기업 경영진과 보안담당자들에는 내부보안과 고객정보의 중요성에 대해 뼈저리게 느껴야 하는 또 하나의 사건이 된 셈이다. 아직 정확한 수사결과는 나오지 않았지만 향후 해당직원과 기업 측에 대해 어떤 조치가 취해질지 주목되고 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>