• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

통신사, 개인정보 유출 사전공지 ‘나 몰라라’ 2014.03.11

LG유플러스 “판매점에서 유출된 개인정보로 사전공지할 이유 없어”

판매사가 대리점 ID로 통신사 서버 열람 등 판매사 관리 허술 제기


[보안뉴스 김경애] KT에 이어 SK브로드밴드와 LG유플러스의 개인정보가 유출되면서 통신사의 개인정보 유출에 비상이 걸렸다.


더욱이 개인정보 유출사실을 이미 지난 2월경 경찰청에서 통보받았음에도 불구하고, 이용자에게 알리거나 홈페이지를 통해 사전공지를 하지 않는 등 소극적인 행동으로 사용자들의 원성이 쏟아지고 있다. 즉 경찰이 발표하기 전 이용자에게 별도 공지가 없었다는 얘기다.


그러나 통신사 측은 저장하고 있는 내부정보가 유출된 게 아닌 판매점에서 유출됐기 때문에 고지할 이유가 없다는 입장이다.


이와 관련 LG유플러스 관계자는 “지난 2월 경 부산남부경찰서로부터 개인정보 유출과 관련해 확인요청이 왔었다”며 “경찰이 요청한 유출정보에 대해 일치 여부만 확인한 결과, 경찰이 밝힌 가공된 개인정보 데이터와 본사가 내부에서 저장하고 있는 데이터 형태와는 달랐다. 가공 데이터가 상당부분 일치하지 않아서 개인정보가 우리가 보유한 것인지조차 알 수 없었다. LG유플러스 본사 내부에서 유출됐다고 하면 공지절차를 밟겠지만 판매점에서 유출된 것으로 알고 있어 사전공지 할 이유가 없었다”고 말했다.


그러나 부산남부경찰서 측은 “통신사 개인정보의 경우 고객을 유치한 하부대리점(판매점)에서 고객정보를 보관하고 있다가 보안이 취약한 것을 이용한 해커에 의해 탈취된 것으로, 고객정보에 대한 통신사의 집중관리가 필요하다고 판단해 방통위 및 통신 3사에 통보했다”고 밝혔다.


이와 관련 시민단체 경실련(경제정의실천시민연합) 윤철한 국장은 “개인정보가 들어 있는 통신사 판매점의 신청서를 모아 가공했는지 판매점내에 전산 시스템을 해킹해 정보를 수집했는지, 또는 과거 통신사가 일종의 마케팅 차원에서 전달됐다 유출됐는지 정확한 수사결과를 봐야 알겠지만 어떤 형식의 개인정보 유출이라도 관리감독 책임은 통신사에게 있다. 개인정보 유출을 인지했다면 즉시 방통위나 미래부에 신고하고, 이용자에게 알려야 한다”고 지적했다.


더군다나 지난 2월 경찰서에서 개인정보 유출확인 요청이 들어왔을 경우 어디서 유출됐는지 등의 사실관계를 따지는 건 시간이 걸릴 수 있어도 유출된 정보확인 작업은 그리 오래 걸리지 않기 때문에 먼저 고지해야 한다는 것. 또한 가공된 데이터의 경우 주민번호, 성명, 남자 성별만 데이터를 뽑겠다면 그게 가공정보로 항목의 차이만 있을 뿐 통지할 의무가 있다고 덧붙였다.


따라서 경찰이 발표하기 전에 홈페이지에 고지하고, 피해자에게 이메일, 전화 등 고지를 통해 피해를 최소화해야 한다는 게 윤 국장의 설명이다.


정통망법(특별법) 27조3에 따르면 개인정보처리자는 개인정보가 유출됐음을 알게 되었을 때에 지체 없이 해당 정보주체에게 관련 사실들을 통보해야 한다고 명시하고 있다.


이와 관련 법무법인 민후 김경환 대표변호사는 “판매점 단에서 정보가 유출됐다면 별도의 독립된 사업자로 판매점에서 정보유출 고지를 해야 하지만 대리점에서 고객정보를 보관하고 있다가 유출됐다면 LG유플러스도 책임이 있다”고 말했다.


이로 인해 통신사 책임 여부에 관심이 모아지고 있다. 이와 관련 한 보안전문가는 “대리점에서는 통신사 서버를 열람할 수 있고, 판매점은 통신 개통 시 대리점에 의뢰해 개인정보를 열람한다. 어떤 경우는 대리점 ID를 통해 통신사 서버를 열람하기도  한다”고 밝혔다.


또한, 그는 “판매점의 경우 별도사업자라고는 하지만 실질적으로는 대리점보다 더욱 엄격하게 판매점 관리를 하고 있다”며 “판매점 개수, 판매점 분석 등을 통해 판매점 계약을 해지하는 등 판매사를 좌지우지하고 있을 뿐만 아니라 어떤 문제가 발생할 경우 모두 판매점이 책임져야 하는 노예계약”이라고 지적했다.


또 다른 보안전문가는 “방통위에서도 자문변호사끼리 판매점 관리에 대한 통신사 책임 여부에 대해 논란이 많다”고 귀띔했다.


한편 부산남부경찰서는 “통신사로부터 개인정보 일치 여부를 일부 확인했다는 답변을 받았다”며 “미래부, 방통위, 금감원, 인터폴 등과 함께 합동수사를 진행하고 있는 중”이라고 밝혔다.


또한 통신사 외에 금융기관, 여행사, 쇼핑몰 등이 어느 곳인지에 대해 부산남부경찰서 측은 “밝힐 수가 없다”며 이해를 당부했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>