IT/미디어/과학기술 분야 법률자문

 

IT/미디어/과학기술
분야 법률자문

 
제목여기어때, 인터파크 등 개인정보 유출사건, 회사가 취해야 할 대응절차는? [개인정보 유출 대응 매뉴얼]2017-06-19 17:11
작성자

 


http://blog.naver.com/it-is-law/220974950101 

 

지난 달, O2O 숙박앱 여기어때가 해킹당해 약 300만 건의 숙박 이용정보가 유출된 일이 있었습니다. 이중 약 4,000명의 회원은 해커로부터 직접 실명, 투숙 날짜, 숙박업소명을 넣은 협박성 문자를 받기까지 했는데요. 숙박업계 최초로 보안e프라이버시인증을 받았다던 홍보내용과는 무색하게 SQL인젝션 방식이라는 초보적인 방식에 의해 해킹당한 사실이 알려지면서, O2O업계 전반의 보안체계 문제가 도마 위에 오르고 있습니다.

 



http://www.sportsseoul.com/news/read/497925 

 

문제는 이뿐만이 아닙니다. ‘여기어때측은 웹 홈페이지 대문에만 공지사항을 띄웠을 뿐, 정작 이용자 대부분의 접속경로인 앱에는 몇 번의 터치를 거쳐서야 볼 수 있는 안내문을 공지하는 데 그쳤는데요. 반발이 커지자 부랴부랴 다시 한 번 앱에 공지를 했지만, 해당 푸시 알림을 터치하면 공지문이 아닌 숙박예약 화면으로 넘어가는 황당한 상황이 펼쳐졌습니다.

 

물론 사태 수습 도중 일어난 실수일 가능성이 크지만, 네티즌 사이에서는 여기어때측이 사과문을 빌미로 마케팅을 하는 게 아니냐는 추측까지 나왔는데요. 숙박정보라는 민감한 사생활을 다루는 업체가 이번 사건에서 보여준 어설픈 사후 조치는, 단순히 해당 앱에 관한 신뢰뿐만 아니라 O2O 앱 전체에 대한 신뢰를 떨어뜨리는 결과를 초래할지도 모를 일이죠.

 

 


http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000814862 

 

개인정보 유출 대응 논란은 지난 인터파크 해킹 사건 때도 있었습니다. 천만 명이 넘는 회원의 개인정보가 유출되었다는 사실이 언론을 통해 알려진 다음날에야 사과문이 발표된 데다, 이후 인터파크 측이 해킹 사고를 알아차린 시점이 발생 후 두 달이나 지난 뒤였다는 사실이 밝혀졌는데요.

 

도둑을 막지 못한 것은 물론 도둑이 왔다갔는지도 몰랐던 인터파크 측은, 이 기간 동안 약관 변경을 통해 책임을 회피하려 했다는 의혹까지 받게 되면서, 허술한 대응과 무책임한 태도에 대한 회원들의 분노가 빗발쳤습니다.

 

 



http://www.edaily.co.kr/news/NewsRead.edy?SCD=JE41&newsid=02066406612752896&DCD=A00504&OutLnkChk=Y 

 

작년 인터파크 개인정보 유출사건 이후, 정부는 정보통신서비스 제공자등을 위한 개인정보 유출 대응 매뉴얼을 마련했습니다. 정보통신망법 및 시행령 등을 바탕으로 만들어진 이 매뉴얼에는, 정보통신서비스 제공자등(이하 사업자)가 자사가 보관하고 있는 이용자 등 개인정보가 유출된 사실을 알게 된 후 준수해야 할 조치사항을 안내하고 있는데요.

 

사업자는 매뉴얼을 참고하여 자사의 상황에 맞게 개인정보 유출 대응 매뉴얼을 마련하고, 보호조치 이행을 위한 세부적인 추진방안을 수립·시행해야 합니다.

 

< 개인정보 유출 대응 매뉴얼 다운받기 >

 

이 매뉴얼은 해킹, 내부자 유출, 이메일 오·발송 등 다양한 원인의 개인정보 유출사고 발생 직후, 사업자가 신속한 조치를 통해 개인정보의 추가 유출을 막고, 유출로 인한 이용자 피해를 최소화하기 위한 필수조치를 안내하고 있는데요.

 

아울러 사업자는 평상시에도 개인정보 보호조치 및 웹 취약점 점검 등을 통해 개인정보가 안전하게 보호될 수 있도록 자신의 환경에 맞는 보호조치 수준을 설정·유지하여야 합니다.

 

 

개인정보 유출 대응 절차는 크게 1) 개인정보 유출 대응 TF 구성, 2) 유출 원인 파악 및 추가 유출 방지조치, 3) 개인정보 유출 신고 및 통지, 4) 이용자 피해구제 및 재발방지 대책 마련 등으로 나뉩니다.

 

개인정보 유출 사실을 알게 된 경우, 개인정보보호책임자(CPO)는 즉시 최고경영자(CEO)에게 보고하고 개인정보보호·정보보호 부서를 중심으로 개인정보 유출 대응 TF’를 구성하여, 추가 유출 및 이용자 피해발생 방지를 위한 조치를 강구하여야 합니다.

 

개인정보 유출원인을 파악한 후에는 추가 유출 방지를 위해 유출 원인별 보호조치를 실시해야 하는데요. 특히 여기어때나 인터파크 사건처럼 해킹에 의한 유출의 경우, 기술력·인력 등의 한계로 자체 긴급조치가 불가하다면 한국인터넷진흥원에 기술지원을 요청할 수 있습니다.

 

 

한 개인정보 유출사실을 알게 된 경우, 즉시(24시간 이내) 해커 등 유출자 검거를 위해 경찰청 사이버안전국에 수사를 요청하고 미래창조과학부·한국인터넷진흥원에 침해사고를 신고하는 한편, 방송통신위원회·한국인터넷진흥원에 개인정보 유출 사실을 신고해야 하는데요.

 

이와 더불어, 개인정보 유출을 알게 된 후 즉시(24시간 이내) 해당 이용자에게 개인정보 유출사실을 통지해야 하며, 법정손해배상제도, 징벌적 손해배상제도 등 이용자 피해구제 방법을 안내하고 유사 사고의 재발방지대책을 마련해야 합니다.

 

 

위 대응절차 등을 준수하지 않을 경우 과징금·과태료 부과대상이 됩니다. 저는 예전 인터파크 개인정보 유출사고시 과징금·과태료 부과 여부·금액 심사에 참여했던 경험이 있는 바, 사후 조치가 얼마나 신속했는지 혹은 정확했는지에 따라 부과 금액도 달라진다고 말씀드릴 수 있는데요.

 

기왕 사고가 발생한 것은 어쩔 수 없다 치더라도 사후 조치를 통해 이용자 피해를 최소화하는 게 기업 이미지를 회복하는 최선의 방법일 것이며, 정부 매뉴얼이 마련된 만큼 유사시 매뉴얼에 따라 신속하고 책임감 있는 대응을 보여주는 것이 이용자들의 신뢰를 쌓는 방안이 될 것입니다.