프리스비 “유출 정황만 검찰에서 통보 받아 KISA에 신고한 상태”

[보안뉴스 김경애 기자] 최근 개인정보가 유출된 프리스비에서 유출항목과 수집정보가 일치하지 않아 여러 의혹이 제기되고 있다. 또한, 회원 가입시 수집되는 필수정보와 개인정보처리방침에서 수집하는 개인정보도 일치하지 않아 그간 개인정보 관리가 소홀했다는 지적이 나오고 있다.


본지는 지난 17일 프리스비 개인정보 유출 사건에 대해 보도한 바 있다. 프리스비는 15일 ‘[온라인 공지사항] 개인정보 침해사고 관련’이란 제목으로 개인정보 유출 사실을 알리며, 유출된 개인정보 항목은 △아이디 △비밀번호 △이메일 △휴대전화번호라고 공지했다.

이러한 가운데 유출된 4개 항목과 개인정보처리방침에서 수집하는 필수 항목이 본지 확인 결과 일치하지 않은 것으로 확인됐다. 프리스비에서는 회원의 본인확인, 포인트 적립과 결제 서비스 등의 이유로 △성명 △아이디 △비밀번호 △전자우편주소 △휴대전화번호 △주소를 필수 개인정보로 수집하고 있다.

여기서 주소는 유출항목에 빠져 있어 해커가 주소를 뺀 나머지 정보만 탈취했을 가능성, 주소도 유출됐지만 프리스비 측에서 이를 파악하지 못해 제외됐을 가능성, 주소정보 DB를 여타 회원정보와 분리해 관리했을 가능성 등이 제기되고 있다.

현재 프리비스는 ‘[온라인 공지사항] 개인정보 침해사고 관련’과 관련해 개인정보 유출 규모는 물론이고, 유출항목과 수집정보 불일치 의혹, 침해사고 경위 등에 대한 추가 공지나 입장을 밝히지 않고 있는 상황이다.

이와 관련 프리비스 관계자는 “개인정보 유출 사건에 대해 책임을 통감하고 있다”며 “개인정보 유출 정황이 포착됐다는 사실을 검찰 측에 통보를 받고, 바로 한국인터넷진흥원에 신고하고, 홈페이지에 공지를 띄웠다”고 밝혔다. 또한, 유출 정황만 전해 들은 상태라 수사결과 혹은 추가 내용을 전달 받을 경우 즉시 공지하겠다는 입장을 전했다.

하지만 문제는 이 뿐만이 아니다. 회원가입에서 수집되는 정보와 개인정보처리방침에서 안내하는 수집정보가 일치하지 않는 것으로 확인됐다. 현재 프리스비에서 회원가입으로 수집하는 필수 개인정보는 △아이디 △비밀번호 △비밀번호 확인 △이름 △성별 △생년월일 △이메일 △주소 △휴대전화번호다.

즉, 회원 가입시 수집되는 필수 개인정보 가운데 △비밀번호 확인 △성별 △생년월일이 개인정보처리방침에 반영되지 않고 누락돼 있는 상황이다.

이와 관련 한 개인정보보호 전문가는 “회원가입이나 기타 이벤트 등의 목적으로 수집되는 개인정보 항목이 최초 사업 시작시 정한 개인정보처리방침과 달라질 수 있다. 이런 경우 개인정보처리방침을 수정해서 개인정보 수집항목을 최신으로 유지해야 하는데, 이를 누락한 것으로 보인다”며 “사업자들이 자주 하는 실수”라고 말했다.

또한, 이메일 주소와 집주소를 필수로 수집하고 있다며, 이는 개인정보 최소수집 원칙에 위배되며, 개인정보처리방침에도 제대로 반영되지 않았다고 지적했다.

방송통신위원회에서 발표한 ‘개인정보 최소수집·보관을 위한 온라인 개인정보 취급 가이드라인(안)’에 따르면 필요 최소한의 개인정보 수집기준에 대해 ‘필수동의 항목의 범위를 최소화하며, 선택동의 항목에 대한 이용자의 실질적 동의권을 보장’해야 하고, ‘필요한 시점에 수집하도록 함으로써 불필요한 개인정보 수집을 제한할 것’을 명시하고 있다. 이는 집주소나 이메일의 경우 제품 배송시나 필요에 따른 수집항목으로 정하고, 이를 개인정보처리방침에 수정 반영해야 하는데 이 부분이 미흡하다는 설명이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>