서울 강남구 대치동의 유명 입시학원인 시대인재 홈페이지가 해킹 당해 개인정보 유출 사고가 발생했다. 30일 학원계에 따르면 시대인재 측은 "지난 25일 복습영상 사이트 리클래스에 외부해킹 흔적을 파악해 보안팀과 외부 보안업체가 즉각 합동조사를 실시했다"고 밝혔다. 학원 측은 "주민번호나 금융정보를 저장하지 않았기 때문에 해당 정보의 유출은 없는 것으로 판단된다"며 "유출된 정보는 ID와 전화번호인 경우가 일부이며 대부분은 ID"라고 밝혔다. 시대인재 재학생들은 해킹 이후 학원 측이 뒤늦게서야 해킹 사실을 알렸다며 불만을 토로했다. 한 재학생은 "해킹 사건은 지난 25일에 발생했지만 4일이 지난 29일에서야 해킹 사실을 밝혔다"며 "시대인재 측은 한 커뮤니티에서 해킹 당했다는 것 같다는 글이 나오자 뒤늦게서야 사과 문자메시지를 보냈다"고 말했다. 재학생에 따르면 텔레그램 메신저의 한 채널에서 시대인재의 재학생, 학부모의 성함과 전화번호 그리고 수업 영상 등이 담긴 파일을 업로드 했다. 해당 텔레그램 채널은 "시대인재 해킹한 증거다"라며 "15000명의 정보를 가지고 있다"며 관련 파일을 공개했다. 시대인재 측은 "보안업체를 통해 정확한 개인정보 유출항목 및 규모파악을 하는데 시간이 걸렸으며 법령상 신고기준을 준수했다"며 "유출 피해 최소화 대책 및 조치 결과도 진행했다"고 말했다. 이진혁 기자

[파이낸셜뉴스]새해초 고객정보 유출 사고로 LG유플러스의 개인정보보호 역량이 또다시 도마 위에 올랐다. 지난해 개인정보보호위원회로부터 두 차례 과태료를 부과받은 LG유플러스는 통신3사 중 정보보호 부문 투자에 가장 소극적인 것으로 나타났다. 정부도 현장 조사 등 구체적인 원인 파악에 나섰다.  11일 통신 업계에 따르면 LG유플러스는 지난 10일 고객 개인정보가 유출된 사실을 홈페이지를 통해 공지했다. 18만 유·무선 및 IPTV 고객의 금융 정보를 제외한 이름, 생년월일, 전화번호 등 개인정보가 유출됐다는 설명이다.  LG유플러스가 유출 사실을 인지한 날짜는 지난 2일이다. 이튿날인 3일 경찰 사이버수사대와 한국인터넷진흥원(KISA) 등 수사·정부기관에 수사를 의뢰했다. 결과적으로 유출 최초 인지 시점과 공지 시점 간 일주일가량 시간이 소요된 셈이다. 하지만 정부가 지난 2016년 제정한 개인정보 보호 대응 매뉴얼에 따르면 개인정보보호법에 따라 유출 사실을 인지한 시점부터 24시간 내 고객에게 통지해야 한다. 대규모 유출로 24시간 이내 전체 통지가 기술적으로 어려운 경우에는 홈페이지 팝업창 등을 통해 방문 이용자가 모두 알 수 있도록 당시까지 파악된 유출 사실을 등을 게시한 후 추가적인 개별 통지를 진행해야 한다. 다만 유출된 개인정보 확산 및 추가 유출 방지를 위해 긴급 조치가 필요하다고 인정되는 경우에만 조치 후 5일 내 정보주체에 알릴 수 있다고 명시하고 있다. 대신 메뉴얼은 "긴급조치가 필요하다고 인정되지 않는 경우에는 3000만원 이하의 과태료가 부과될 수 있다"고 명시하고 있다. 관계 당국의 유권해석이 필요한 지점이다. LG유플러스 측은 일주일 간 간극에 대해 "불명확한 데이터를 확인하고, 고객을 특정하는 데 시간이 걸렸다"고 해명했다.  개인정보보호위원회는 이날 개인정보보호법 위반 여부 파악을 위해 현장조사를 진행하면서 "위반사항이 확인되면 엄정히 행정처분하고, 재발방지 대책 등을 점검할 계획"이라고 전했다. #OBJECT0#이런 가운데 KISA 정보보호 공시 종합 포털에 따르면 지난해 기준 LG유플러스의 정보보호부문 투자액은 291억8660만원이다. △SK텔레콤(SK브로드밴드와 별도) 626억5700만원 △KT 1021억1000만원에 비해 낮다. 정보보호부문전담인력(내·외부 포괄)은 △SK텔레콤 196명 △KT 335명 △LG유플러스 91명으로 파악됐다.  이미 LG유플러스는 2021년과 2022년 개인정보보호위원회로부터 두차례 과태료를 부과받은 바 있다. 임직원·고객 개인정보를 관리하는 데 있어 안전조치가 미흡했다는 이유에서다. LG유플러스는 이번 사태에 대해 "해당 고객정보의 유출 시점과 경위를 파악하기 위해 수사기관 및 정부기관의 조사에 적극 협조하고 있으며 모니터링 시스템을 강화하고, 조사결과에 따라 재발 방지 대책을 마련할 예정이다"고 했다. jhyuk@fnnews.com 김준혁 기자

[파이낸셜뉴스] 가상자산 거래소 지닥이 고객 개인정보 유출로 인한 피해를 보상한다.   4일 지닥 운영사인 피어테크는 메리츠화재 개인정보유출 배상책임 보험에 가입했다고 밝혔다. 이를 통해 지닥은 자사 거래소 회원의 개인정보 관리 보안을 강화했다. 메리츠화재의 개인정보유출 배상책임 보험은 개인정보유출 위험으로부터 투자자를 보호한다는데 의미가 있다. 이를 통해 지닥은 사용자의 개인정보 유출사고 발생시 투자자에게 손해배상 책임 이행을 보장한다. 즉, 해킹 및 부정 접근, 바이러스 등으로 인한 개인정보 유출이 일어날 경우 피해보상에 대한 대책을 마련할 수 있다는 설명이다.  한편 현재 지닥은 개인과 법인을 대상으로한 가상자산 원화 거래를 지원하고 있으며, 작년 12월 업계 최초로 가상자산 거래소뿐만 아니라 자체 커스터디(가상자산 지갑관리 시스템) 운영에 대한 정보보호관리체계(ISMS) 인증을 취득한바 있다. srk@fnnews.com 김소라 기자

[파이낸셜뉴스] 인터파크가 1030만여명의 개인정보 유출로 방송통신위원회로부터 수십억원의 과징금을 부과받은 것에 대해 불복소송을 제기했으나 항소심에서도 패소했다. 서울고법 행정1-3부(강승준 부장판사)는 1일 인터파크가 방통위를 상대로 “시정명령처분 등을 취소해 달라”며 낸 행정소송에서 1심과 같이 원고 패소 판결했다. 2016년 7월 해커의 침입으로 인터파크 가입자 1030만명의 Δ아이디 Δ암호화된 비밀번호 Δ이름 Δ성별 Δ생년월일 Δ전화번호 Δ휴대전화번호 Δ이메일 Δ주소 등 개인정보 2540만35762건이 외부로 유출되는 사고가 발생했다. 이에 방통위는 인터파크에 44억8000만원의 과징금과 2500만원의 과태료를 부과하고 재발방지 대책을 수립·시행하라는 시정명령을 내렸다. 인터파크는 처분에 불복해 소송을 제기했다. 1심 재판부는 "정보통신망법 제28조제1항에 따르면 개인정보처리시스템에 대한 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 ‘최대 접속시간 제한 조치’ 등을 취해야 했다“며 ”하지만 인터파크 개인정보처리자는 업무가 끝난 뒤에도 로그아웃을 하지 않고 퇴근해 개인정보처리자의 PC가 해킹에 이용되는 등 기술적, 관리적 책임 소홀이 인정된다“고 판단, 방통위의 손을 들어줬다. 2심도 1심 판단이 옳다고 봤다. #인터파크 #개인정보 #방송통신위원회 fnljs@fnnews.com 이진석 기자

KT가 2012년 발생한 대규모 고객 개인정보 유출 사고에 대해 손해배상 책임이 없다는 대법원의 최종 판단이 나왔다. 대법원 1부(주심 권순일 대법관)는 28일 강모씨 등 정보유출 피해자 342명이 KT를 상대로 낸 손해배상 청구소송 상고심에서 원고 패소 판결한 원심을 확정했다.지난 2012년 7월 발생한 'KT 개인정보 유출 사고'는 해커에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사건이다. 2명의 해커가 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다.그러나 KT는 이 같은 유출 사태를 5개월 간 파악조차 하지 못했던 것으로 조사됐다. 이에 강씨 등은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원의 손해배상금을 지급하라는 내용의 소송을 제기했다.1심은 "KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했고, 망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다"며 "피해자에 10만원씩 배상하라"고 원고 일부 승소로 판결했다.반면 2심은 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"며 원고 패소로 판결했다. 대법원은 2심 판단이 옳다고 봤다.대법원 1부는 이날 또 다른 정보유출 피해자 100명이 KT를 상대로 낸 손해배상 청구소송 상고심에서도 원고 일부승소 판결한 원심을 깨고 KT에 정보유출 책임을 물을 수 없다는 취지로 사건을 서울고법에 돌려보냈다.대법원 관계자는 "정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반했는지를 판단할 때에는 해킹으로 인한 침해사고의 경우 당시 일반적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성 등을 종합적으로 고려해야 한다는 점을 재확인한 판결"이라고 설명했다. mountjo@fnnews.com 조상희 기자

KT가 2012년 발생한 대규모 고객 개인정보 유출 사고에 대해 손해배상 책임이 없다는 대법원의 최종 판단이 나왔다. 대법원 1부(주심 권순일 대법관)는 28일 강모씨 등 정보유출 피해자 342명이 KT를 상대로 낸 손해배상 청구소송 상고심에서 원고 패소 판결한 원심을 확정했다. 지난 2012년 7월 발생한 'KT 개인정보 유출 사고'는 해커에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사건이다. 2명의 해커가 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 그러나 KT는 이 같은 유출 사태를 5개월 간 파악조차 하지 못했던 것으로 조사됐다. 이에 강씨 등은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원의 손해배상금을 지급하라는 내용의 소송을 제기했다. 1심은 "KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했고, 망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다"며 "피해자에 10만원씩 배상하라"고 원고 일부 승소로 판결했다. 반면 2심은 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"며 원고 패소로 판결했다. 대법원은 2심 판단이 옳다고 봤다. 대법원 1부는 이날 또 다른 정보유출 피해자 100명이 KT를 상대로 낸 손해배상 청구소송 상고심에서도 원고 일부승소 판결한 원심을 깨고 KT에 정보유출 책임을 물을 수 없다는 취지로 사건을 서울고법에 돌려보냈다. 대법원 관계자는 "정보통신서비스 제공자가 개인정보보호를 위한 법률상 또는 계약상 의무를 위반했는지를 판단할 때에는 해킹으로 인한 침해사고의 경우 당시 일반적으로 알려져 있는 정보보안 기술 수준, 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성 등을 종합적으로 고려해야 한다는 점을 재확인한 판결"이라고 설명했다.  mountjo@fnnews.com 조상희 기자

개인정보를 취급하는 기업들에 비상이 걸렸다. 개인정보 유출에 대비한 매뉴얼을 마련해야 하고 유출사고가 발생하면 최고경영자에게 보고해서 신속대응팀을 구성해야 하는 등 여러 가지 의무가 부가됐기 때문이다. 과거에는 개인정보가 유출되더라도 관련법이 미비해 기업 이미지 훼손을 제외하면 직접적인 손실이 발생하지는 않았으나 앞으로는 사정이 달라졌다. 사전에 마련된 망 분리 등 대비조치를 충분히 마련해야 할 뿐 아니라 유사시 대응매뉴얼에 따라 신속히 조치하고 신고하지 않으면 직접적인 손실까지 발생하게 된다. 이같은 내용은 지난 8월말 방송통신위원회(위원장 최성준)와 한국인터넷진흥원(원장 백기승)이 발표한 '개인정보유출대응매뉴얼'에 포함돼 있다. 이 매뉴얼에는 개인정보가 유출됐을 때 기업들이 어떤 절차에 따라 대처를 해야하는지, 또 개인정보 유출사태를 막기 위해 기업들이 어떤 조치를 해야 하는지에 대한 상세한 내용이 담겨 있다. 구체적으로 살펴보면 각 기업들은 개인정보 유출사고에 대비한 대응매뉴얼을 마련해야 한다. 대응매뉴얼에는 개인정보 업무책임자와 담당자가 지정돼 있어야 하고 사고가 발생하면 신속대응팀을 구성하는 내용이 포함돼 있다. 또 사고 즉시 경찰과 미래창조과학부에 신고를 해야 하며 유출된 정보와 관련된 각 개인에게도 즉시 통보해야 한다. 정부가 '개인정보유출 대응매뉴얼'을 마련한 이유는 지난 5월 발생한 인터파크의 개인정보유출 사건 등 전자상거래 업체나 IT업체들의 대규모 개인정보유출사건이 잇따랐기 때문이다. 개인정보의 유출도 문제지만 우왕좌왕하는 사이 대처가 늦어지거나 유출사실을 숨기려 했다는 사실이 드러나면서 빈축을 사기도 했다. 정부가 발표한 매뉴얼은 이 같은 행위를 미연에 방지하자는데 있다. 물론 현재까지는 '대응매뉴얼' 자체로 어떤 강제성이 생긴 것은 아니다. 관련법상 지연신고 부분에 대해서는 관련법에 따라 과태료 처분을 내려질 수 있지만 매뉴얼을 갖추지 않았다고 해도 제재를 받지는 않는다. 그러나 개인정보 유출 피해을 입은 개인이 기업을 상대로 손해배상 소송을 벌인다면 사정이 달라진다. 지금까지는 법규정이 미비해 피해를 입은 개인이 승소할 수 있는 가능성이 극히 낮았다. 민사상 손해배상 책임이 인정되려면 가해자가 과실이나 고의로 의무를 위반해야 하는데 개인정보 관리에 관해서는 어느 정도가 기업이 지켜야할 의무인지 명확하지 않았다. 이 때문에 개인정보유출사태를 겪은 상당수 기업들이 '최선을 다했지만 어쩔 수 없이 당했다'고 항변했고 법원은 이를 수용할 수 밖에 없었다. 이번에 정부가 마련한 '대응 매뉴얼'은 기업의 '의무위반'을 판단할 기준이 생겼다는 점에서 큰 의미를 갖는다. 직접 제재조치를 하지 않는다고 해도 거액의 손해배상을 해야하는 상황이 생길 수 있게 됐기 때문이다. 대부분 기업들이 인터넷 홈페이지를 유지하고 있고 고객이나 거래처 정보를 컴퓨터 등 전산기기에 저장해 두고 있는 이상 개인정보 유출은 언제든 가능해졌기 때문이다. 기업들이 서둘러 실질적인 전산보안 대책과 비상시 대비절차를 마련해야 할 이유다. 도움말:법무법인 화우 ohngbear@fnnews.com 장용진 기자

주민번호 수집 허용 근거 법령 현황 구 분 법 률 시행령 시행규칙 총 계 2013년 8월 77 404 385 866 2014년 8월 85 498 531 1114 2015년 8월 111 565 596 1272 <새정치민주연합 박남춘 의원실>  휴대폰 거래가 이뤄지는 온라인 커뮤니티 '뽐뿌' 홈페이지 해킹으로 회원 개인정보 190만여건이 유출돼 개인정보 유출에 대한 우려가 커지고 있다.  문제는 외부 해킹으로 개인정보가 유출되는 것 외에도 주민번호 수집 허용 확대와 애플리케이션(앱)의 과도한 개인정보 접근 등으로 자연스럽게 유출될 여지가 높아지면서 개인정보 보호를 위한 정비작업이 시급하다는 지적이다.  아울러 개인정보가 유출되도 확인할 수 없는 사례도 다수인터라 개인정보 보호를 위한 이용자들의 사전 대응이 요구되고 있다.  ■잠그려해도 풀리는 개인정보  14일 새정치민주연합 박남춘 의원이 행정자치부로부터 제출받은 자료에 따르면 주민번호 수집 허용 법령 수가 입법예고 전인 2013년 8월 당시 866개보다 406개가 늘어난 1272개로 확인됐다.  무분별한 주민번호 수집을 막아 개인정보의 노출 피해를 근본적으로 막기 위해 주민번호를 무단으로 수집하지 못하게 하는 '주민번호 법정주의'가 시행돼 필요한 경우에만 법령에 따라 수집을 허용하고 있으나 점차 허용 규정이 확대되고 있는 것이다.  반면 불필요한 주민번호수집 법령정비는 단 36건에 불과했고 이마저도 실제 개정으로 이어진 사례는 5건에 그쳤다.  스마트폰 앱이 이용자 스마트폰에 대한 '접근권한'을 무분별하게 요구하고 있다는 점도 잠재적 사생활 침해 요소로 꼽힌다.  새정치민주연합 김기식 의원이 구글플레이 랭킹 상위 앱 30개를 분석한 결과, '접근권한'을 가장 많이 요구한 백신 앱 '360 시큐리티'만해도 44개의 권한을 요구했다.  인터넷 기록 읽기, 연락처 확인, 문자 메시지 확인, 통화기록 읽기, 사진과 동영상 촬영 등 백신과 연관성이 낮은 기능이 상당수 포함돼 무차별적 정보수집이 가능하다는 것이다.  같은기능의 앱인 안랩의 'V3 모바일 플러스 2.0'은 8개의 권한만을 요구, 통화기록이나 주소록, 위치 등 사생활과 관련된 접근권한이 없었다는 점에서 사생활 침해에 활용될 가능성이 높다는 분석이다.  ■개인정보 누출되도 모른다  방송통신위원회에 신고된 개인정보 누출사고 중 56%가 유출 규모를 비롯해 유출 원인을 확인할 수 없다는 점에서 이용자들의 예방이 최선이란 지적이다.  확인되지 않는 사고의 대부분 개인정보가 유출된지 수년이 지나서야 알아차리게 된다는 점에서 유출 개인정보가 파밍, 스미싱 등 추가적인 범죄로 이어질 가능성을 배제할 수 없다는 지적이다.  해킹 등 특정한 원인에 의한 경우 해당 사업자가 유출사실을 알기 어렵다는 점도 있지만 당국의 사전점검에도 문제가 있다는 비판이 제기되고 있어 무엇보다 이용자들이 개인정보 유출 예방 작업을 강화하는 것이 요구되고 있다.  일단 미래창조과학부는 최근 일어난 뽐뿌 해킹 사고 원인 분석에 나서며 개인정보 유출에 악용된 취약점 등을 보완할 수 있게 기술지원을 실시하기로 했지만 이용자들의 사전예방도 필수로 꼽힌다. 업계 관계자는 "혹시라도 유출된 개인정보로 피싱과 같은 2차 피해가 일어날 수 있는 만큼 모바일로 전달되는 내용에 대한 주의가 필요하다"며 "이외에도 인터넷 사이트에 대한 비밀번호를 변경하고 보안 업데이트로 예방 조치를 강화해야 한다"고 말했다. hjkim01@fnnews.com 김학재 기자

▲ 뽐뿌 해킹 사고뽐뿌 해킹 사고 뽐뿌 해킹 사고가 발생해 190만 명의 개인정보가 유출됐다. 12일 미래창조과학부와 방송통신위원회는 뽐뿌 해킹 사고 소식을 접하고 원인 조사에 착수했다. 뽐뿌는 휴대전화 거래 등이 이뤄지는 온라인 커뮤니티로 11일 오전 1시쯤 해킹 공격을 받아 회원의 개인정보 190만여건이 유출된 것으로 알려졌다. 한편 이번 해킹 사고로 유출된 개인정보는 회원 아이디와 비밀번호, 이메일, 닉네임, 회원 점수 등이다. 한편 뽐뿌 해킹 사고의 정확한 수법이나 배경, 의도 등은 파악되지 않고 있다. /news@fnnews.com 온라인편집부       

휴대폰 거래가 이뤄지는 온라인 커뮤니티 '뽐뿌' 홈페이지 해킹 사건과 관련 당국이 원인 조사 착수에 나섰다.  미래창조과학부와 방송통신위원회는 '뽐뿌 개인정보 유출 사고'의 정확한 조사를 위해 미래부 공무원 및 민간 전문가로 구성된 '민·관 합동조사단' 등을 구성했다고 12일 밝혔다.  앞서 뽐뿌는 전날 오전 1시쯤 해킹 공격을 받아 회원의 개인정보 190만여건이 유출된 것으로 알려졌다. 이번 해킹으로 유출된 개인정보는 모든 뽐뿌 회원의 아이디와 비밀번호, e메일, 닉네임, 회원 점수 등이다. 뽐뿌 운영진은 유출 사고 직후인 당일 오전 홈페이지에 이 같은 사실을 고지하는 게시물을 띄웠다.  이에 방통위는 뽐뿌에서 누출된 개인정보 항목과 유출 시점, 피해 최소화를 위한 이용자의 조치 방법, 이용자 상담 등을 접수할 수 있는 부서·연락처 등을 이용자에게 e메일 등으로 통지하도록 했다.  이와 함께 개인정보 유출 사고에 따른 이용자 보호를 위해 개인정보 불법 유통 및 노출 검색 모니터링을 강화하고, 개인정보침해신고센터를 24시간 가동해 신고를 접수하도록 했다.  개인정보 침해 신고는 전화(☎ 118)나 인터넷(www.i-privacy.kr)으로 할 수 있다.  미래부는 침해사고의 원인 분석에 나서는 한편 개인정보 유출에 악용된 취약점 등을 보완할 수 있도록 기술지원을 실시하기로 했다.  또 이번에 유출된 개인정보를 이용한 파밍·피싱 등 2차 피해 예방을 위해 비밀번호를 변경하는 등 이용자가 사이버사기 대처 요령을 숙지하고 주의를 기울여줄 것을 당부했다.  사이버사기 대처 요령은 '보호나라'(www.boho.or.kr) 게시판에서 볼 수 있다. elikim@fnnews.com 김미희 기자