[파이낸셜뉴스] 개인정보보호위원회는 써브웨이 인터내셔날 비브이에 대한 조사에 착수했다고 1일 밝혔다. 개인정보위는 구체적인 유출 경위 및 피해규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 써브웨이는 지난 6월 26일 조사에 착수한 한국파파존스와 같이 홈페이지 URL(유알엘) 주소의 뒷자리 숫자 변경 시 다른 고객의 주문정보(연락처, 주문내역 등)가 별도의 인증절차 없이 확인가능한 상태로 운영된 것으로 알려졌다. 두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼, 각 사업자들은 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개인정보위는 강조했다. 한편, 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대하여 전반적인 개인정보 처리실태 조사를 진행하고 있으며, 올해 하반기 조사결과를 발표할 예정이다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 피자 프랜차이즈 파파존스에 이어 샌드위치 프랜차이즈 써브웨이에서도 고객 개인정보 노출 정황이 발견됐다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 써브웨이에서도 파파존스와 동일한 이유로 개인정보가 유출되고 있었던 것을 확인했다고 30일 밝혔다. 최근 논란이 된 파파존스 개인정보 유출 사태와 동일하게 URL(인터넷 주소) 끝부분의 숫자를 임의로 변경하면 다른 고객의 연락처 및 주문정보(픽업매장, 방문포장·매장식사 여부, 주문내역, 주문금액, 요청사항 등)가 노출되는 형식이다. 써브웨이 홈페이지와 모바일 앱을 통한 온라인 주문 시스템에서 제3자의 개인정보를 어떠한 절차없이 열람할 수 있는 보안체계로 인해 개인정보가 유출되고 있었다. 특히 최소 5개월간 동일한 방식으로 개인정보가 유출되고 있었던 것으로 추정된다고 최 위원장은 밝혔다. 이에 써브웨이측은 “최근 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했고, 조치해 문제를 해결한 상태”라며 “정보 오용 정황은 확인되지 않았으나 신속히 한국인터넷진흥원(KISA)에 신고했다”고 밝혔다 . 최 위원장은 “최근 파파존스에 이어 써브웨이에서까지 개인정보 유출이 확인됐다”며 “민감한 개인정보를 제공할 수밖에 없는 식음료 주문과 배달이 폭발적으로 늘어난 상황에서 관련 기업들 전반의 정보보호시스템 점검이 필요하며 기업 스스로는 물론 정부 또한 대책을 세워야할 것”이라며 외식업계 전반의 정보보호시스템 점검을 촉구했다. 한편 파파존스의 고객 개인정보 유출은 2017년 1월 1일부터 2025년 6월 24일까지 총 8년 6개월간 이어졌으며 유출된 건수는 3730만 건에 달했다. 유출된 개인정보에는 이름, 연락처, 주소, 이메일, 생년월일은 물론이고 카드번호 전부(16자리 ) 및 유효기간, 카드 전표, 공동현관 비밀번호 등 2차 범죄로 직결될 수 있는 고위험 정보가 포함돼 있었다. gaa1003@fnnews.com 안가을 기자

[파이낸셜뉴스] 피자 프랜차이즈 업체인 한국파파존스에서 고객의 연락처 및 주소 등 개인 정보가 유출됐다. 한국파파존스는 26일 홈페이지 입장문을 통해 "파파존스 홈페이지 내 일부 고객 정보가 외부에 노출될 수 있는 취약점이 발견되어 즉시 차단 및 보완 조치를 완료했다"고 밝혔다. 이어 "현재 정부 산하 유관 기관과 협력해 추가 조사를 진행중이며, 재발 방지에 최선을 다하겠다"고 했다. 노출된 정보는 고객명과 연락처, 주소 등이다. 카드 정보의 경우 카드번호 16자리 중 일부가 가림 처리된 상태로 노출된 것으로 알려졌다. 파파존스는 "향후 보다 철저한 개인정보 관리 메뉴얼을 구축하고 보안 시스템을 전면 점검해 유사한 사고가 재발하지 않도록 안전성 점검을 시행하겠다"고 알렸다. 한편 파파존스는 전날 개인정보보호위원회에 개인정보 유출 사고를 신고했다. 개인정보위는 이에 사실 확인에 나섰다. hwlee@fnnews.com 이환주 기자

[파이낸셜뉴스] 개인정보보호위원회가 한국파파존스에 대한 개인정보 유출 조사에 착수했다고 26일 밝혔다. 개인정보위에 따르면 한국파파존스는 홈페이지 소스코드 관리 소홀로 2017년 1월부터의 고객 주문정보가 온라인 상에 무방비로 노출됐던 사실을 뒤늦게 확인하고 지난 25일 유출을 신고했다. 노출된 고객 정보는 이름과 주소, 신용카드 번호 뿐만 아니라 공동 현관의 비밀번호도 포함된 것으로 확인됐다. 개인정보위는 구체적인 유출 경위 및 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등의 확인 절차에 돌입했다. 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 개인정보위는 "최근 홈페이지 설계 취약점으로 인해 개인정보가 유·노출되는 사고가 늘어나고 있는 만큼, 각 사업자들은 관리자페이지 접근제한, URL(유알엘) 주소 관리 등 홈페이지 운영에 각별한 주의가 필요하다"고 강조했다. yjjoe@fnnews.com 조윤주 기자

개인정보보호위원회가 각각 32만명, 8만 3000여명의 개인정보 유출 사고가 발생한 전북대학교와 이화여자대학교에 총 9억6600만 원의 과징금을 부과하고 시정조치에 나섰다. 개인정보위는 지난 11일 전체회의를 열고 개인정보가 유출된 전북대와 이화여대에 총 9억 6600만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다고 12일 밝혔다. 개인정보 유출에 따른 피해 규모 등을 고려해 전북대에게는 6억 2300만원, 이화여대는 3억 4300만원이 각 부과됐다. 두 대학 모두 학사정보시스템 구축 당시부터 존재하던 취약점을 방치해왔고, 외부 해킹 시도에 대한 야간·주말 모니터링도 제대로 이루어지지 않았던 것으로 조사됐다. 전북대는 지난해 7월 28일부터 이틀간 해커의 파라미터 변조 공격 등으로 학사정보시스템이 침해당했다. 이로 총 32만여 명의 개인정보가 유출됐다. 이 시스템의 취약점은 2010년 12월 시스템 구축 당시부터 존재했던 것으로, 무려 14년 가까이 방치되어 있었다. 또 전북대는 1997년부터 2001년 사이에 수집한 주민등록번호 233건을 보호법 개정 이후에도 파기하지 않고 보유하고 있었던 사실도 적발됐다. 이화여대도 지난해 9월 2~3일 통합행정시스템의 DB에서 대규모 정보유출이 발생했다. 해커는 약 10만 회의 파라미터 변조 시도를 통해 8만3000여 명의 개인정보, 주민등록번호를 포함한 학부생 및 졸업생 정보를 빼돌렸다. 해당 시스템은 구축 당시인 2015년 11월부터 취약한 상태였던 것으로 조사됐다. 지난해부터 전국 대학에서 21건의 개인정보 유출 신고가 접수됐다. 대학의 경우 대개 생성규칙이 단순한 '학번' 등을 기준으로 개인정보를 관리하고 있어 파라미터(입력값) 변조 공격에 취약한 측면이 있고, 대규모 정보를 처리하고 있어 유출 사고 발생 시 막대한 피해가 예상된다고 개인정보위는 우려했다. 조윤주 기자

[파이낸셜뉴스] 명품 브랜드 까르띠에의 고객 정보가 유출되는 사건이 벌어졌다. 3일 업계에 따르면 까르띠에는 고객에게 이메일을 보내 "권한이 없는 제3자가 까르띠에 시스템에 일시적으로 무단 접근해 일부 고객 정보를 취득하는 문제가 발생했다"는 사실을 알렸다. 까르띠에는 또 "신속하게 대응해 시스템, 데이터 보안을 강화하는 조치를 취했다"며 "관련 당국에 이번 사안을 공유하고 업계 최고의 외부 사이버 보안 전문가와 긴밀히 협력하고 있다"고 설명했다. 까르띠에에 따르면 고객 이름과 이메일 주소, 국가 등이 유출됐을 가능성이 있다. 다만 비밀번호, 신용카드 정보, 기타 은행 정보 등 금융정보는 영향을 받지 않았다는 점을 강조했다. 까르띠에는 "이번 사안으로 고객에게 불편을 끼쳐드린 점에 대해 깊이 사과드린다"고 밝혔다. 앞서 명품브랜드 디올과 티파니가 개인정보 유출 사건으로 개인정보보호위원회의 조사를 받는 중이다. y27k@fnnews.com 서윤경 기자

개인정보보호위원회는 루이비통모에헤네시(LVMH) 산하 명품 브랜드 디올과 티파니의 개인정보 유출 사고 조사에 착수했다고 1일 밝혔다. 개인정보위에 따르면 디올은 사고가 1월에 발생했는데 5월 7일 인지했다며 같은 달 10일 신고했다. 티파니도 4월께 발생한 유출사고를 5월 9일에야 알게 됐다며 같은 달 22일 신고했다. 개인정보보호법 시행령은 개인정보처리자가 1000명 이상, 민감정보 등의 개인정보가 유출된 것을 알게 되면 72시간 이내에 개인정보위에 신고하도록 규정한다. 두 회사 모두 구독형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용 중이다. 두 건 모두 직원계정 정보를 이용해 개인정보가 유출된 것으로 파악됐다. 개인정보위는 해당 서비스형 소프트웨어도 함께 들여다볼 계획이다. 개인정보보호위원회는 "이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP 주소 제한 등 접근 통제 조치가 필요하다"며 "개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다"고 말했다. 조윤주 기자

[파이낸셜뉴스] 개인정보보호위원회는 루이비통모에헤네시(LVMH) 산하 명품 브랜드 디올과 티파니의 개인정보 유출 사고 조사에 착수했다고 1일 밝혔다. 개인정보위에 따르면 디올은 사고가 1월에 발생했는데 5월 7일 인지했다며 같은 달 10일 신고했다. 티파니도 4월께 발생한 유출사고를 5월 9일에야 알게 됐다며 같은 달 22일 신고했다. 개인정보보호법 시행령은 개인정보처리자가 1000명 이상, 민감정보 등의 개인정보가 유출된 것을 알게 되면 72시간 이내에 개인정보위에 신고하도록 규정한다. 두 회사 모두 구독형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용 중이다. 두 건 모두 직원계정 정보를 이용해 개인정보가 유출된 것으로 파악됐다. 개인정보위는 해당 서비스형 소프트웨어도 함께 들여다볼 계획이다. 개인정보보호위원회는 "구독형 소프트웨어를 이용하는 기업이 대규모 개인정보 유출사고를 예방하기 위해서는 이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP 주소 제한 등 접근 통제 조치가 필요하다"라며 "피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다"고 말했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 고학수 개인정보보호위원회 위원장은 최근 SK텔레콤의 해킹 사건에 대해 "이번 사고로 엄청난 국민적 피해가 발생했다"며 강력한 제재 의사를 밝혔다. 고학수 개인정보보호위원장은 21일 서울 중구 은행회관에서 가진 기자간담회에서 SK텔레콤 해킹 사건을 '역대급 사건'이라고 평가하며 이같이 말했다. 개인정보위는 SK텔레콤 측이 해킹 정황을 신고한 당일인 지난 4월 22일 조사에 착수했고, 관련 TF를 구성해 집중 조사에 들어갔다. 현재 개인정보 유출 대상 및 피해 규모의 확정과 사업자의 관련법상 안전조치 의무(기술적·관리적 조치 포함) 위반을 확인 중이다. 고 위원장은 "사용자가 피해를 증명해야 한다는 식의 발언이 나오는데, 이미 피해는 어마어마하게 발생한 것"이라며 "경각심을 갖고 심각하게 사안을 들여다보고 있다"고 강조했다. 그러면서 "앞으로 발생할 수 있는 피해를 어떤 식으로 대응할 것인지, 이것을 이제 계속해서 고민해야 되는 상황"이라며 "개인정보위 입장에서는 개인정보보호를 위한 안전조치 의무를 잘 지켰는지 이런 관점에서 사안을 들여다 보고 있다"고 말했다． 그러면서 "2차 피해 상황에 대해서는 모니터링하고 있으나, 마치 2차 피해가 생겨야 진짜 피해가 생긴 것이라는 (생각은) 잘못된 것"이라며 "2차 피해는 복제폰 뿐만 아니고 다양하게 폭넓게 나타날 수 있다"고 잘라 말했다. 고 위원장은 이어 "SKT 과징금이 어느 정도일지는 지금 시점에서 가능하기 어렵지만, 과거 LG유플러스 사례와는 전혀 사안이 다른, 유례가 없는 상황"이라고도 했다.  특히 SK텔레콤이 사고 발생 직후, 이용자에게 개인정보 유출 통지를 하지 않은 것에 대해 강한 유감도 드러냈다. 고 위원장은 "지난 2일 의결해서 9일까지 통지를 완료하도록 요청했지만, 개인적으로 매우 유감스럽게 생각한다"고 지적했다. 해당 시점까지 통지가 완료되지 않은 것 뿐만 아니라, 통지 내용 역시 '유출 가능성에 대해 추후 조사 결과에 따라 알리겠다'는 식으로 표현된 것은 소극적인 대응이라는 것이 개인정보위 판단이다. 고 위원장은 "기업 내부적으로도 상황을 충분히 파악하지 못하고 있는 듯한 내용은 이 정도 규모의 회사로서는 매우 미흡한 대응"이라며 "법에서 요구하는 통지 항목에도 일부 부합하지 않는 점도 있었다. 실질적으로는 제대로 된 통지가 아니라고 본다"고 비판했다. 다만 이번 사고의 배후 규명 등 완전한 조사 결과가 도출되기까지 상당한 시일이 걸릴 것으로 보인다. 고 위원장은 "많은 해킹 사건이 사실 정확한 원인 규명이나 범인을 확인하기 어려운 경우가 많다"라며 "이번 조사에서도 해킹된 정보가 어떻게 흘러갔는지, 누구에 의해 저질러졌는지 파악이 쉽지 않다. 국제 공조도 필요한 상황이라 시간이 걸릴 것"이라고 말했다.  징벌적 손해배상 가능성에 대해서는 "현재 개인정보보호법에 관련 조항이 있지만 그간 법원 판례를 보면 소비자 눈높이에선 아쉬울 수 있다"라며 "제도 개선 측면에서 어떻게 개별 피해자에게 실효성 있는 구제 방안을 마련할지 추가 논의해 구체화하고 있는 과정"이라고 말했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 지난달 해킹 사고가 발생한 법인보험대리점(GA) 2곳에서 일부 신용정보를 포함해 고객 및 임직원 1000여명의 개인정보가 유출된 것으로 확인됐다. 금융감독원은 현장검사를 거쳐 필요 조치를 하는 한편 보험사에 2차 피해 예방 조치를 취하도록 요구할 계획이다. 금감원은 20일 이같은 내용을 담은 'GA 개인정보 침해사고 발생 경과 및 향후 계획'을 발표했다. 금감원에 따르면 국정원이 지난 4월 다크웹에서 신원 미상의 해커가 GA의 개인정보를 탈취·공개하려는 정황을 확인하면서 2개 GA의 해킹 정황이 최초로 인지됐다. 금융보안원이 GA 및 보험영업 지원 IT업체를 조사·분석한 결과 해당 IT업체 개발자가 해외의 이미지 공유사이트를 이용하는 과정에서 악성코드 링크를 클릭했고 이로 인해 개발자 PC가 악성코드에 감염된 것으로 확인됐다. 해당 개발자 PC에는 고객사인 GA의 웹서버 접근 URL과 관리자 ID·비밀번호가 저장돼 있어 이 PC에 저장돼 있던 GA 14개사의 웹서버 접근 URL과 관리자 ID·비밀번호가 유출된 것으로 추정된다. 대형 GA인 유퍼스트보험마케팅에서는 고객 349명의 성명·주민등록번호·전화번호 등이, 임직원·설계사 559명의 성명·전화번호 등이 유출됐다. 일부 고객정보(128명)의 경우 가입한 보험계약의 종류, 보험사 증권번호, 보험료 등 보험가입 내용을 판단할 수 있는 신용정보도 포함된 것으로 확인됐다. 하나금융파인드에서는 고객 199명의 개인정보가 유출됐지만 고객의 보험계약에 관한 거래정보 등의 유출은 없었던 것으로 파악됐다. 해당 IT업체의 고객사인 나머지 12개사에 대해서도 로그기록을 분석한 결과 1개사에서 개인정보 유출 정황이 확인됐고, 2개사에서는 침해 정황이 확인됐으나 개인정보 유출 정황은 없는 것으로 파악됐다. 금감원은 "12개사의 유출량은 매우 적은 것으로 추정되나 정확한 실태파악을 위해 금융보안원을 통해 추가 검증을 실시할 예정"이라며 "해당 IT업체의 서비스를 사용 중인 다른 GA 43개사에 대해서도 이상 IP 접속 확인이 필요하다"고 설명했다. 금감원은 정보 유출 회사에 개인(신용)정보 유출사실을 고객에게 조속히 개별 통지하도록 하고, 보험사에는 유출 정보를 악용한 보험계약대출(약관대출), 적립금 중도인출, 보험계약 해지·변경 등이 발생하지 않도록 필요한 조처를 하도록 요구할 계획이다. 금감원 관계자는 "보험계약 해지·변경이나 대출, 인출 등에 본인 확인 등 절차가 강화돼 있기 때문에 유출 정보를 악용한 2차 피해 가능성은 작으나, 혹시 모를 가능성을 차단하는 차원"이라고 설명했다. 정보 유출 GA와 보험사에는 피해상담센터를 설치해 유출로 인한 피해 접수, 관련 제도 문의 등을 상담하기로 했다.  금감원은 "추가 피해 예방을 위해 GA와 보험회사에 ID·비밀번호 관리 강화, 보안 취약점 점검, 불필요한 고객정보 삭제, 솔루션사 보안관리 강화 등을 요구할 것"이라며 "개인신용정보 유출 GA에 대한 현장검사를 실시해 필요 조처를 하겠다"고 밝혔다. 금감원은 보험 소비자에게는 개인정보 유출사실 통지를 빙자한 스미싱에 유의하고, 유출 피해고객은 금융사 홈페이지·앱 접속을 위한 비밀번호를 변경하라고 당부했다.  sjmary@fnnews.com 서혜진 기자