• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

940만 개인정보 유출된 캐세이퍼시픽, 왜 비판 받고 있나 2018.10.26

사건 탐지는 3월, 최종 확인은 5월...그런데 발표는 10월?
있을 수 없는 사건이라는 비판 잇따라 나오고 있어...주가 3.77% 떨어져

[보안뉴스 문가용 기자] 홍콩의 항공사 캐세이퍼시픽에서 940만 명 고객들의 개인정보가 침해되었다는 사실이 어제 여러 매체를 통해 보도됐다. 그러나 이 사건이 5개월 전에 발생한 것이라, 캐세이퍼시픽은 “이렇게 중대한 사실을 발표하는 데 왜 5개월이나 걸렸는가?”하는 질문에 답하라는 여론의 압박을 받고 있다.

[이미지 = iclickart]


어제 캐세이퍼시픽 측은 “지난 3월 자사 네트워크 망에서 수상한 활동이 탐지됐고, 일부 개인정보에 악의적인 접근이 이뤄졌다는 걸 5월에 확인했다”고 발표했다. 그러면서 “쓸데없는 패닉 유발을 막고 보다 정확한 상황 판단을 위해 발표를 미룬 것”이라고 해명했다.

하지만 홍콩 내 여론은 이 해명을 그대로 수긍하지 않고 있다. IT 분야 전문 변호사인 찰스 목(Charles Mok)은 “패닉이 쓸데없거나 필요한 것을 왜 캐세이퍼시픽이 결정해야만 했는가”라며 “피해자들이 걱정할 수 있는 권리를 말도 없이 앗아간 것”이라고 강력하게 비판했다. 그러면서 “발표를 5개월이나 늦춘 것에 대한 정확한 해명이 있어야 할 것”이라고 촉구했다.

홍콩의 국회의원 엘리자베스 쾃(Elizabeth Quat) 역시 “이렇게까지 시간을 끈건 용납할 수 없다”고 발표했다. “피해자들이 아무런 조치를 취할 수 없게 해놓은 채 5개월을 그냥 보냈다는 건 심각한 문제입니다.”

캐세이퍼시픽은 약 86만 개의 여권 번호, 24만 5천여 개의 홍콩 주민등록 번호, 403개의 만료된 신용카드 번호, 27개의 신용카드 정보에 대한 접근이 이뤄졌다고 발표했다. 그 외에도 캐세이퍼시픽 고객들의 국적, 생년월일, 전화번호, 이메일 주소, 거주지 주소 등도 침해된 것으로 나타났다. 하지만 캐세이퍼시픽의 CEO인 루퍼트 호그(Rupert Hogg)는 “아직 침해된 정보가 남용된 사례를 발견하지 못했다”고 주장했다.

찰스 목 변호사는 이 역시 수긍할 수 없는 주장이라고 반박했다. “남용된 사례가 없다고 발표만 하면 대중들이 믿어야 합니까? 그렇게 해명하려면 그에 대한 납득할만한 증거도 제시해야 합니다. 게다가 남용된 사례가 없으니 피해자가 없다는 식의 발언도 문제가 있습니다. 개인정보가 허락 없이 다른 사람의 손에 넘어간 것 자체가 이미 피해이기 때문입니다. 또한 미래에 남용 사례가 없을 것이라는 보장이 되는 것도 아닙니다.”

그 외 홍콩 매체들은 올해 유럽연합이 시행하기 시작한 GDPR을 언급하기도 했다. GDPR의 규정에 따르면 개인정보 침해 사고가 발생하면 72시간 내에 이를 유관기관에 보고해야 한다. 캐세이퍼시픽은 세계적인 항공사로 유럽 고객들도 자주 사용하기 때문에 이번 사건이 GDPR의 엄격한 기준으로 판결날 수도 있다.

AP통신을 통해 홍콩 개인정보보호위원회 위원장인 스티븐 웡(Stephen Wong)은 “사태의 심각성을 인지하고 있으며, 규정 준수와 관련된 조사에 들어가겠다”고 발표했다. 그러면서 “다른 사람의 개인정보를 바탕으로 이윤을 만드는 조직들이라면, 개인정보를 다루는 데에 있어 정립되고 있는 새로운 윤리를 앞장서서 받아들여야 한다”고 주장했다.

캐세이퍼시픽 역시 경찰과 함께 조사를 시작했다고 발표했다. 그러면서 이번 사건으로 피해를 입은 당사자들에게 연락을 취하고 있으며, 이들을 보호하기 위한 방안을 마련하고 있다고 설명했다.

이번 사건은 캐세이퍼시픽의 사업에도 큰 충격을 줄 것으로 예상된다. 이미 캐세이퍼시픽은 동남아 지역에 나타난 여러 저가 항공사들 때문에 영업 손실을 보고 있던 차였다. 지난 3월 70년 역사상 처음으로 적자를 기록했고, 600명을 해고했다. 경영진의 1/4이 해임되기도 했다. 고객 정보 침해 발표가 나오고 나서 캐세이퍼시픽의 주가는 3.77% 하락했다.

그래서 그런지 아직 캐세이퍼시픽은 피해 고객들을 위한 ‘금전적 보상’에 관해서는 아무런 언급을 하고 있지 않다.

3줄 요약
1. 홍콩의 대형 항공사 캐세이퍼시픽, 940만 고객 개인정보 침해당함.
2. 사건은 5월에 최종 확인됨. 발표가 5개월 늦어진 것. 각계 비판 잇따라 나옴.
3. 이미 영업에 어려움 겪고 있던 캐세이퍼시픽, 이 사건으로 추가 3.77% 추가 하락.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>