오클락·위매프·티몬·쿠팡 등 4대 소셜커머스 업체의 보안실태는?
개인정보 수집기준 및 기술적·관리적 보호조치 중심...본지 실태조사
[보안뉴스 김경애] 한국의 티켓몬스터를 인수한 세계 최대 규모의 소셜커머스 업체 리빙소셜이 지난 4월 해킹 당한 사건이 발생했다. 이와 관련 리빙소셜 측은 5천만 명의 사용자가 정보유출 피해를 입었을 가능성이 있으므로 고객들에게 패스워드를 재설정할 것을 권고한 바 있다.
특히, 전자상거래와 SNS의 장점이 결합된 소셜커머스 업체의 경우 최근 몇 년 새 사용자가 급속하게 증가하고 있고, 금융정보를 비롯한 개인정보를 수집 및 보유하는 경우도 많아 개인정보보호체계가 보다 철저해야 한다는 목소리가 높다. 그렇다면 국내 대표적인 소셜커머스 업체들의 개인정보보호 실태는 어떨까?
이와 관련 본지는 4대 소셜커머스 업체를 대상으로 개인정보 수집 기준과 수집된 개인정보의 관리체계 및 보호실태, 보안조직, 인증체계 등 개인정보보호에 관한 실태를 조사했다.
(1) 수집정보 (업체명: 가나다순)
|
수집정보 |
오클락 |
위매프 |
티켓몬스터 |
쿠팡 |
|
이름 |
0 |
|
0 |
0 |
|
생년월일 |
0 |
|
0 |
0 |
|
아이디 |
0 |
|
0 |
|
|
전화번호(휴대폰) |
0 |
0 |
0 |
0 |
|
이메일 |
0 |
0 |
0 |
0 |
|
구입시 배송 및 결제를 위한 추가정보 |
|
0 |
|
0 |
|
은행계좌번호 |
0 |
|
|
|
|
신용카드번호 |
0 |
|
|
|
|
성별 |
|
|
0 |
0 |
|
외국인등록번호 |
|
|
0 |
|
|
아이핀정보 |
|
|
0 |
|
|
이통사정보 |
|
|
0 |
|
먼저 수집하는 개인정보를 살펴보면 4개 업체 모두 기본적으로 이름과 생년월일, 전화번호(휴대번호) 등을 수집하고 있다.
이중 고객이 제품을 구입하거나 배송받게 되면 그에 따른 2차 정보 수집이 이뤄지는데 이에 따른 추가정보로 오클락은 은행계좌번호나 신용카드번호 등을 추가 수집하고, 티켓몬스터는 아이핀 정보, 이통사 정보 등을 수집하고 있다. 이외에 쿠팡과 위매프도 추가 정보를 수집하고 있다고 밝혔다.
그렇다면 이렇게 수집한 개인정보를 소셜커머스 업체들은 어떻게 보호 및 관리하고 있을까? 해당 업체가 설명하는 개인정보보호를 위한 보안관리대책은 다음과 같다.
(2) 개인정보보호 위한 보안관리 대책
|
회사명 |
보안관리대책 |
|
오클락 |
-기술적 보호조치: 접근권한관리, 탈퇴고객DB 별도 운영
-관리적 보호조치: 월1회 개인정보위원회 운영, 개인정보 보호교육 연2회 실시, 사내캠페인, 수탁사 관리감독, 개인정보 출력물 관리, 실시간 모니터링 |
|
위매프 |
-암호화, 접근권한 분리 및 제한
-사용로그 기록 모니터링
-24시간 보안관제
-개인정보 관리 및 취급지침에 따라 개인정보 활용 승인 절차 진행 |
|
티켓몬스터 |
-물리적 망분리, DB 접근제어, 정보보호 관제서비스, DLP
|
|
쿠팡 |
-전직원 대상 연2회 이상 개인정보보호교육 실시 및 지침 배포
-보안인식 개선 위해 파트너사에게 개인정보보호 가이드 전달 |
4대 소셜커머스 업체들의 보안관리대책을 살펴보면 먼저 오클락의 경우, 기술적 보호조치로 접근권한관리, 탈퇴고객DB를 별도 운영한다고 밝혔다. 또한, 관리적 보호조치로 월1회 개인정보위원회를 운영하고, 개인정보 보호교육을 연2회 실시하고 있다. 이외에 사내캠페인으로 개인정보 접근권한을 가진 담당자는 비밀번호를 주기적으로 변경하도록 하고, 수탁사 관리감독, 개인정보 출력물 관리, 실시간 모니터링을 진행하고 있다고 덧붙였다.
위매프는 수집된 개인정보에 대해 암호화 조치를 취하고 있으며, 접근권한 분리 및 제한조치를 취하고, 사용로그에 대한 기록 및 모니터링을 통해 24시간 보안관제를 실시하고 있다고 밝혔다. 또한, 개인정보 취급에 대한 프로세스는 항상 개인정보조직과 법무팀에서 모든 문제점을 검토해 정하고 있으며, 개인정보 활용에 대한 승인은 절차에 따라 진행하고 있다고 설명했다.
지난해 4월, 개인정보보호 법규 위반으로 방통위로부터 과징금과 과태료 행정처분을 받은 바 있는 티켓몬스터는 기술적 보호조치로 물리적 망분리를 통해 개인정보보호를 철저히 하고 있다고 밝혔다. 또한, DB접근제어, 정보보호 관제서비스, 핵심정보유출방지(DLP)솔루션 등의 개인정보보호 시스템을 구축해 운영 중이라고 덧붙였다.
쿠팡의 경우 관리적 조치로 전 직원을 대상으로 연2회 이상 ‘개인정보보호 관련 교육’을 실시하고 지침서를 전 직원을 대상으로 배포하고 있다고 밝혔다. 또한, 보안인식 개선을 위해 파트너사에게 개인정보보호 가이드를 전달하고, 향후 파트너사를 대상으로 개인정보 관련 컨설팅을 지원할 예정이다.
(3) 인증체계
인증체계에 있어서는 쿠팡을 제외하고는 소셜커머스 업체 대부분이 아직 미흡한 것으로 조사됐다. 쿠팡의 경우 ISO27001를 비롯해 PIMS와 ISMS 인증을 모두 취득한 상태인 것으로 나타났다.
|
회사명 |
ISO27001 |
PIMS |
ISMS |
기타 |
|
오클락 |
|
|
|
e-TRUST, e-Privacy |
|
위매프 |
|
진행중 |
진행중 |
|
|
티켓몬스터 |
|
|
진행중 |
|
|
쿠팡 |
O |
O |
O |
|
위매프와 티켓몬스터는 정보보호관련 인증을 아직 획득하지 않은 상태로 현재 ISMS 인증작업을 진행 중이라고 밝혔다. 오클락의 경우는 상업적 웹사이트에 대해 소비자보호 및 개인정보 보호정책과 구매 전 과정을 평가해 운영업체에 인증마크를 부여하는 e-TRUST와 개인정보우수사이트에 대해 개인정보보호협회가 발급하는 e-Privacy를 획득했다고 밝혔다.
(4) 보안조직
|
회사명 |
보안조직 |
|
오클락 |
개인정보관리책임자, 개인정보관리담당자, 개인정보관리자, 개인정보 취급자 |
|
위매프 |
개인정보조직 산하 보안팀, 개인정보팀 |
|
티켓몬스터 |
개인정보관리책임자,개 인정보관리담당자, 개인정보관리자 |
|
쿠팡 |
정보보안실, 보안기술팀, 개인정보팀 |
보안 및 개인정보보호 조직의 경우 오클락은 개인정보관리책임자, 개인정보관리담당자, 개인정보관리자, 개인정보취급자로 구분해 운영 중이고, 위메프는 개인정보조직 산하에 보안팀과 개인정보팀을 운영중이라고 밝혔다.
또한, 티켓몬스터는 개인정보관리책임자, 개인정보관리담당자, 개인정보관리자로 구분해 보안담당자를 지정해 운영 중이며, 쿠팡의 경우는 보안조직을 정보보안실, 보안기술팀, 개인정보팀으로 나눠 운영하고 있다고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
