GDPR 시행 10개월 전, 벌써부터 ‘벌금 잔치’ 벌어지나
IT 기업들은 자세 낮추고...프라이버시 단체는 목소리 높이고

[보안뉴스 문가용 기자] 영국의 자동차 산업 내에서는 가장 큰 규모를 자랑하는 자동차협회(Automobile Association, 이하 AA)가 현재 큰 비난의 대상이 되고 있다. 회원들의 개인정보를 소홀하게 관리했다는 게 그 이유다. 서버의 환경설정을 잘못하는 바람에 지난 4월 약 10만 명의 AA 고객들의 정보가 새나간 것뿐만 아니라 해당 고객들에게 사실이 통보되지도 않았다. AA가 이 사실을 쉬쉬해오는 바람에 지난주나 되어서야 대중에게 알려졌다.


이 사실을 제일 먼저 세상에 알린 건 보안 전문가 트로이 헌트(Troy Hunt). 트위터를 통해 “AA에게 13GB 분량의 DB 백업이 노출되었다고 알려줌”이라고 밝힌 것이 시초였다. AA의 회장인 에드문드 킹(Edmund King)은 이후 “서버 환경설정이 잠깐 잘못 됐었을 뿐이고, 때문에 두 개의 백업 데이터 파일들이 영향을 받았다”며 “민감한 정보가 담겨있지 않았다”고 발표했다.

하지만 이는 사실이 아니었다. 트로이 헌트만 해도 백업 파일을 손에 넣을 수 있었고, 해외 매체인 머더보드(Motherboard) 역시 마찬가지였다. 게다가 둘 다 ‘백업 데이터 안에 민감한 데이터가 있었다’고 말했다. 알고 보니 고객 117000명의 이름, 거주지 주소, IP 주소, 구매 관련 상세 정보, 지불카드 숫자 중 마지막 네 자리, 지불카드 만료일 등이 전부 유출된 것이었다. 이 정도 정보만 있어도 스피어피싱 공격이 충분히 가능한 게 사실이다.

불행 중 다행인 건 4월 달에 일어난 정보 유출 사건과 연루된 실제 공격이 아직까지 보도된 바 없다는 것이다. 그러나 분명히 불법 접근 시도는 있었고, 정보는 유출된 게 맞다. 아직까지 공격이 없었을 뿐 추후에 일어날 가능성은 얼마든지 존재한다. 보안 업체인 하이테크브리지(High-Tech Bridge)의 CEO 일리야 콜로첸코(Ilia Kolochenko)는 “아직 안심할 단계가 전혀 아니”라고 강조한다. “누군가 이 정보에 접근했다는 사실은 분명합니다. 그 중에 범죄자가 없으리라고 보는 건 막연한 희망일 뿐입니다.”

그러나 머더보드에 의하면 AA 측은 이 사실을 인지하고 있었음에도 고객들에게 전혀 알리지 않았다고 한다. “어떤 이유에서건 고객들의 정보가 유출됐으면 먼저 그 고객들에게 사실을 알리는 것은 가장 먼저 해야 할 일입니다. 그리고 통상 그 고객들을 보호하기 위한 방책을 마련하죠. 신용 모니터링 서비스 등 말이죠. 실수로 유출 사고를 낼 수는 있지만, 실수로 그 사실을 두 달 넘게 덮어둘 순 없는 것이죠.”

하지만 현재 영국의 데이터보호법에 의하면 AA가 침해 사실을 반드시 공개해야 하는 건 아니다. 데이터를 안전하게 보호해야 하는 책임이 있지만, 고지해야 할 책임은 없다는 것이다. 그러나 이러한 상황은 10개월 뒤 GDPR이 도입되면서 바뀔 예정이다. “이 사건 때문에 GDPR의 도입에 대해 사람들이 더 환영하게 되었습니다. 만약 GDPR이 도입된 상태에서 AA 사건이 똑같이 터졌으면, 아마 천문학적인 벌금형이 내려졌을 겁니다.”

그렇다고 현재 영국법상 AA가 아무런 대가를 치르지 않아도 되는 건 아니다. 영국의 정보기관인 ICO에 의하면 “고객 정보를 안전하게 지켜야 하는 책임을 다하지 않은 것이 사실”이기 때문이다. 해외 매체들에 의하면 AA에게 선고될 수 있는 벌금은 최대 50만 파운드로, 약 7억 4천만원에 해당한다. 관계자들이 AA 사건을 수사하고 있는 ICO가 ‘매우 불편한 심기를 드러내고 있다’고 증언하고 있기에 7억원의 벌금형은 가능성이 높아 보인다.

유럽에선 IT 민간 기업과 정부 기관의 기 싸움 한창
한편 윈도우 10의 크리에이터스 업데이트(Creators Update)를 하지 않은 사용자들이라면 곧 프라이버시 옵션 조정을 하라거나 최신 업데이트를 적용하라는 메시지를 받을 예정이다. 고객에게 더 나은 경험을 제공하겠다며 윈도우 10을 통해 다양한 정보를 가져간 MS는 얼마 전 프랑스의 국가정보보호위원회(CNIL)의 “멈추라”는 정식 통지를 받은 바 있다. MS는 이 항의를 받아들여 크리에이터스 업데이트를 통해 문제를 해결했다.

한편 프랑스 정부는 택시 산업에 새바람을 불러일으킨 우버를 상대로도 법정싸움을 벌이고 있다. 프랑스 정부는 우버를 운송 사업자라고 보고 있고, 이에 따라 우버가 시장에서 불법적인 서비스를 제공하고 있다고 규정해 소송을 벌인 바 있다. 우버는 당연히 ‘우린 택시 회사가 아니다’라고 주장하며 항소했다. 하지만 스페인 정부나 영국의 씽크탱크인 레졸루션재단(Resolution Foundation)은 프랑스 정부의 손을 들어주고 있다. 유럽연합의 고등법원 또한 마찬가지다. 모든 상황이 우버의 패소를 가리키고 있는 상황이다.

독일 역시 현지 시각으로 6월 30일, 이른바 ‘페이스북 법안’을 통과시켰다. SNS 서비스 업체라면 앞으로 ‘헤이트 스피치’ 콘텐츠를 알아서 삭제해야 한다는 내용으로, 이를 제대로 시행하지 못했을 경우 매우 큰 벌금을 내야 한다. 이에 대해서는 어제 본지에서 보도한 바 있다.

이처럼 IT 기업들의 정보 수집 및 처리, 노출 방식에 대해서 유럽 기관들이 계속해서 유리한 고지를 선점하고 있다. 우버의 경우야 조금 다르긴 하지만 ‘새로운 IT 사업’에 대한 유럽 국가들의 빡빡한 시각이 드러나는 건 마찬가지다. 데이터 보호와 관련된 규정인 GDPR의 시행이 1년도 남지 않은 때에 이런 일들이 선례가 되면 다행이겠지만, 오히려 내년 GDPR 시행일부터 일어날 일들의 예고편에 불과한 것 아니냐는 우려도 나오고 있다.

기업들이 벌금을 걱정하고 있을 때 프라이버시 관련 단체들은 “과도한 정보 수집 및 검열”에 대해 반대하고 있다. 프라이버시 인터내셔널(Privacy International)도 그 중 하나로, 최근 테러 근절 및 사이버 범죄 예방을 빌미로 정부나 특정 기업이 지나친 콘텐츠 검열권한을 가져가고 있다고 경고했다. 프랑스와 MS 사건의 경우는 프라이버시 보호 측면에서 일이 해결되긴 했지만, ‘프라이버시를 지키는 건 정부’라는 인식을 심었고, AA의 경우 역시 마찬가지다. 독일의 페이스북 법은 사실상 SNS 업체에 검열 권한을 건네 준 것이다.

이게 단순 유럽만의 문제는 아니라고 프라이버시 인터내셔널은 설명한다. “튀니지, 필리핀, 인도네시아 같은 국가의 새 정권은 인권을 무시하더라도 테러의 뿌리를 뽑겠다는 입장이죠. 그래서 검열과 감시를 강력하게 실행합니다. 그래서 실제 인권 보호 상태가 매우 열악합니다. 인권 수준이 비교적 낮은 국가에서는 ‘테러’가 핑계가 되어서 자유가 억압되고 있으며, IT 인프라가 강한 나라들에서는 사이버 범죄를 이유로 데이터와 관련된 권한이 한 조직으로 쏠리고 있습니다. 개인정보는 자꾸만 유출되고, 누군가는 하루하루 힘을 쌓아가고 있습니다.”

이런 현상은 흔히들 독재국가라고 알려져 있는 곳에서 더 노골적으로 일어난다고 한다. “정부가 바이오메트릭 시스템을 도입하겠다며 생체 정보를 강제로 가져가기도 하고, 모바일 기기를 사용하고 싶으면 정부가 ‘강제’로 정해놓은 SIM 카드를 쓰도록 하고, 스마트시티를 표어로 삼아 CCTV를 잔뜩 늘리고 있습니다. 발전과 안전은 개인의 인권이 보호되는 선에서 추구되어야만 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>