한국데이터법정책학회는 오는 21일 오전 9시 30분부터 웨스틴 조선호텔 2층 코스모스 & 바이올렛홀에서 최근 통신사 해킹 및 개인정보 유출로 인해 다양한 법적 이슈와 과제가 제기되는 것과 관련해 기술적 이해와 법적 의미를 살펴보는 세미나를 개최한다고 14일 밝혔다.  세미나는 해킹 및 개인정보 유출의 기술적 이슈와 과제에 대한 이경호 고려대 정보보호대학원 교수의 발제에 이어 해킹 및 개인정보 유출의 법적 이슈와 과제에 대한 박종수 고려대 법학전문대학원 교수의 발제가 이어진다. 종합토론에서는 손승우 부회장을 좌장으로 정원준 박사(한국법제연 구원 AI법제팀장, 신용우 법무법인 지평 변호사, 김화 이화여대 법학전문대학원 교수, 박종국 김·장 법률사무소 변호사, 김태오 창원대 법학과 교수, 김기범 성균관대 교수가 전문가 패널로 참여한다. 이성엽 한국데이터법정책학회 회장은 "이번 세미나가 최근 급증하고 있는 해킹으로 인한 개인정보 유출로 인해 다양한 기술적, 법적 이슈가 제기되고 있는 상황에서 대안을 제시하는 의미 있는 세미나가 될 것"이라고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스] 경찰이 방송통신심의위원회의 '민원 사주' 의혹을 제기한 전·현직 직원 3명을 개인정보 유출 혐의로 검찰에 넘겼다. 반면 의혹의 당사자인 류희림 전 위원장은 무혐의 처분을 받았다. 29일 경찰에 따르면 서울경찰청 반부패수사대는 지난 25일 전 방심위 팀장 A씨, 노조 사무국장 B씨, 현직 직원 C씨를 개인정보보호법 및 정보통신망법 위반 혐의로 서울중앙지검에 송치했다. 이들은 지난해 12월 류 전 위원장의 ‘민원 사주’ 정황을 권익위에 신고하고 언론에 제보한 것으로 알려졌다. 경찰은 언론 제보 과정에서 내부 자료가 외부로 전달된 것으로 보고 혐의를 적용했다. 방심위 사무처와 관련 개인 압수수색도 수차례 이뤄졌다. 반면 경찰은 류 전 위원장이 가족·지인을 동원해 방심위에 민원을 넣게 했다는 의혹에 대해서는 "심의 결정과의 인과관계를 단정하기 어렵다"며 업무방해 혐의를 인정하지 않았다. 류 전 위원장에 대해서는 강제 수사 없이 수사가 종결됐다. 다만 경찰은 류 전 위원장이 내부 제보자를 특정하려 한 정황에 대해 이해충돌방지법 위반 혐의를 적용해 검찰에 송치했다. 전국언론노조 등은 "핵심 의혹은 수사하지 않고, 내부 제보자에게만 책임을 물었다"며 재수사를 촉구했다. 이호찬 언론노조 위원장은 "방심위 직원들에겐 압수수색까지 진행하면서, 류 전 위원장은 조사 없이 불송치된 점은 납득하기 어렵다"고 비판했다. 425_sama@fnnews.com 최승한 기자 425_sama@fnnews.com 최승한 기자

[파이낸셜뉴스] SK텔레콤이 28일부터 개인정보 유출 조회 서비스를 시작했다. 이날 SK텔레콤은 이날 T월드 홈페이지에 '개인정보 유출 여부 확인 안내' 게시물을 공지로 올렸다.  고객들은 해당 사이트에 접속해 유출 여부를 직접 조회할 수 있다. 이름, 생년월일, 휴대전화 인증을 거치면 휴대전화 번호, 가입자 식별번호(IMSI), 유심 인증키 2종(Ki·OPc), 기타 회사 내부 관리용 정보 21종 등의 유출 여부를 확인할 수 있다. 유출 여부 확인은 민관합동조사단 조사 결과 정보 유출 시점인 올해 4월 18일 유출된 전화번호 기준으로 가능하다. 만 14세 미만 고객은 필요 서류 지참 후 T 월드 매장 또는 고객센터에서 개인정보 유출 여부를 확인할 수 있다. SK텔레콤은 해킹 후 비정상 인증 차단 시스템(FDS 2.0)으로 불법 복제 유심 및 불법 복제 단말의 네트워크 접근을 원천 차단하고 있다고 설명했다. 또 유심 보호 서비스를 통해 국내외에서 유심 복제, 탈취로 인한 피해를 예방하고 있으며 다양한 방식의 유심 무료 교체를 진행하고 있다고 덧붙였다. SK텔레콤은 "현재까지 이번 사고로 인한 2차 피해 사례는 확인되지 않았다"며 "사고를 악용한 2차 피해가 발생하지 않도록 SK텔레콤을 사칭하는 전화, 문자 등에 주의를 부탁한다"고 했다. mkchang@fnnews.com 장민권 기자

[파이낸셜뉴스]금융회사가 수탁자에 대한 관리·감독과 안전성 확보조치 준수를 제대로 이행한 경우 수탁자에서 발생한 개인정보 유출 관련 과징금을 완화해야 한다는 제언이 나왔다. 현재는 금융회사가 동일한 개인정보 유출 사건에 대해 개인정보보호법과 신용정보법을 둘 다 적용 받아 이중 제재 논란이 일고 있다. 16일 금융권에 따르면 금융보안원이 전날 개최한 '금융분야 개인(신용)정보 보호 세미나'에서는 금융회사가 개인정보 유출 문제 관련, 금융위원회 소관인 개인정보보호법과 개인정보보호위원회 소관인 신용정보법에 따라 두 차례 과징금을 부과받는 현행 법체계에 대한 문제점이 지적됐다.  두 법 모두 개인정보 유출이 발생하면 전체 매출액의 3% 이하를 과징금으로 부과할 수 있도록 규정하고 있다. 실제로 카카오페이는 최근 개보위로부터 59억6800만원, 금융위로부터 150억원의 과징금을 부과 받았다. 카카오페이가 지난 2019년부터 애플 서비스의 부정 거래 방지를 위해 알리페이 시스템을 활용했는데 정보처리 위탁에 해당하는 절차로 암호화된 비식별 정보(NSF 점수)를 정보 주체의 동의 없이 알리페이에 이전했다는 이유에서다.  개인정보보호법에 따르면 정보주체로부터 개인정보를 수집한 기업·기관 등 개인정보처리자는 다른 처리자에게 개인정보를 넘길 때 '제3자제공'이나 '처리위탁' 규정을 따라야 한다. 제3자제공은 정보주체의 별도 동의가 필요하지만 관리·감독 책임이 개인정보를 넘겨받는 쪽에 발생하고 처리위탁은 별도의 동의절차가 필요 없지만 개인정보를 넘겨주는 쪽이 관리·감독 책임을 져야 한다. 개인정보를 외국으로 넘길 경우 정보주체의 별도 동의를 받으라는 '국외이전' 제한규정도 있다. 개보위에 따르면 카카오페이는 NSF 점수를 산출하기 위해 알리페이가 개인정보를 넘겨받는다고 명시한 제3자제공 동의서를 받지 않았다. 오히려 애플 서비스에서 카카오페이 이외 결제수단을 택한 사용자나 안드로이드폰을 가진 사용자까지 합쳐 약 4000만명의 개인정보를 알리페이에 제공했다.  별도로 조사를 진행한 금감원 역시 같은 사안에 대해 150억원 규모의 과징금을 결정하고 금융위에 최종 심의를 맡긴 상태다.  이날 패널 토론에 참석한 박재호 삼성증권 상무는 "위탁자의 수탁자 관리·감독과 수탁자의 안전성 확보조치 준수가 잘 이행된 경우 수탁자에서 발생한 개인(신용)정보 유출 관련 과징금을 완화해야 한다"고 말했다.  이해원 강원대학교 법학전문대학원 교수 역시 "하나의 행위에 두 개의 법을 적용해 두 곳의 기관에서 제재를 받는 것이 합당한 지 논쟁이 있다"라며 "개인정보와 관련해 충돌하고 중복되는 법에 대한 정비가 필요하다"고 강조했다.  금융회사에서 정보보호를 담당하는 임원들에 대한 법적 보호 장치나 전사적인 지원이 필요하다는 제언도 나왔다. 금융보안원에 따르면 현재 국내 은행·증권·보험·카드사의 약 80%는 정보보호최고책임자(CISO), 개인정보보호책임자(CPO), 신용정보관리·보호인(CIAP) 등 3개 직책을 동일인에게 겸직시키고 있어 전문성이 떨어지고 책임이 과중하게 부여된다는 비판이 나온다. 김진규 KB손해보험 상무는 "금융 분야는 CISO, CPO, CIAP 겸직이 보편화돼있다"라며 "개인(신용)정보 보호를 효과적으로 하기 위해서는 조직과 역할 분담이 뒷받침 돼야 한다"고 지적했다. 윤수영 한국CPO협의회 사무국장은 "겸직 중인 임원에게 집중된 과도한 책임을 분산하기 위해 거버넌스 구축과 선량한 관리자의 주의 의무를 다한 CPO에게는 인사상 불이익을 방지하는 법 제도적 장치가 필요하다"고 주장했다.  한편 박상원 금융보안원장은 “디지털 금융환경이 고도화될수록 개인(신용)정보의 안전한 보호는 금융산업의 신뢰를 지탱하는 핵심 기반이 된다"며 "앞으로도 금융회사의 안전한 개인(신용)정보 관리 및 보호를 적극 지원해 나가겠다”고 밝혔다.  sjmary@fnnews.com 서혜진 기자

[파이낸셜뉴스] 개인정보보호위원회는 써브웨이 인터내셔날 비브이에 대한 조사에 착수했다고 1일 밝혔다. 개인정보위는 구체적인 유출 경위 및 피해규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 써브웨이는 지난 6월 26일 조사에 착수한 한국파파존스와 같이 홈페이지 URL(유알엘) 주소의 뒷자리 숫자 변경 시 다른 고객의 주문정보(연락처, 주문내역 등)가 별도의 인증절차 없이 확인가능한 상태로 운영된 것으로 알려졌다. 두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼, 각 사업자들은 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개인정보위는 강조했다. 한편, 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대하여 전반적인 개인정보 처리실태 조사를 진행하고 있으며, 올해 하반기 조사결과를 발표할 예정이다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 피자 프랜차이즈 파파존스에 이어 샌드위치 프랜차이즈 써브웨이에서도 고객 개인정보 노출 정황이 발견됐다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 써브웨이에서도 파파존스와 동일한 이유로 개인정보가 유출되고 있었던 것을 확인했다고 30일 밝혔다. 최근 논란이 된 파파존스 개인정보 유출 사태와 동일하게 URL(인터넷 주소) 끝부분의 숫자를 임의로 변경하면 다른 고객의 연락처 및 주문정보(픽업매장, 방문포장·매장식사 여부, 주문내역, 주문금액, 요청사항 등)가 노출되는 형식이다. 써브웨이 홈페이지와 모바일 앱을 통한 온라인 주문 시스템에서 제3자의 개인정보를 어떠한 절차없이 열람할 수 있는 보안체계로 인해 개인정보가 유출되고 있었다. 특히 최소 5개월간 동일한 방식으로 개인정보가 유출되고 있었던 것으로 추정된다고 최 위원장은 밝혔다. 이에 써브웨이측은 “최근 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했고, 조치해 문제를 해결한 상태”라며 “정보 오용 정황은 확인되지 않았으나 신속히 한국인터넷진흥원(KISA)에 신고했다”고 밝혔다 . 최 위원장은 “최근 파파존스에 이어 써브웨이에서까지 개인정보 유출이 확인됐다”며 “민감한 개인정보를 제공할 수밖에 없는 식음료 주문과 배달이 폭발적으로 늘어난 상황에서 관련 기업들 전반의 정보보호시스템 점검이 필요하며 기업 스스로는 물론 정부 또한 대책을 세워야할 것”이라며 외식업계 전반의 정보보호시스템 점검을 촉구했다. 한편 파파존스의 고객 개인정보 유출은 2017년 1월 1일부터 2025년 6월 24일까지 총 8년 6개월간 이어졌으며 유출된 건수는 3730만 건에 달했다. 유출된 개인정보에는 이름, 연락처, 주소, 이메일, 생년월일은 물론이고 카드번호 전부(16자리 ) 및 유효기간, 카드 전표, 공동현관 비밀번호 등 2차 범죄로 직결될 수 있는 고위험 정보가 포함돼 있었다. gaa1003@fnnews.com 안가을 기자

[파이낸셜뉴스] 피자 프랜차이즈 업체인 한국파파존스에서 고객의 연락처 및 주소 등 개인 정보가 유출됐다. 한국파파존스는 26일 홈페이지 입장문을 통해 "파파존스 홈페이지 내 일부 고객 정보가 외부에 노출될 수 있는 취약점이 발견되어 즉시 차단 및 보완 조치를 완료했다"고 밝혔다. 이어 "현재 정부 산하 유관 기관과 협력해 추가 조사를 진행중이며, 재발 방지에 최선을 다하겠다"고 했다. 노출된 정보는 고객명과 연락처, 주소 등이다. 카드 정보의 경우 카드번호 16자리 중 일부가 가림 처리된 상태로 노출된 것으로 알려졌다. 파파존스는 "향후 보다 철저한 개인정보 관리 메뉴얼을 구축하고 보안 시스템을 전면 점검해 유사한 사고가 재발하지 않도록 안전성 점검을 시행하겠다"고 알렸다. 한편 파파존스는 전날 개인정보보호위원회에 개인정보 유출 사고를 신고했다. 개인정보위는 이에 사실 확인에 나섰다. hwlee@fnnews.com 이환주 기자

[파이낸셜뉴스] 개인정보보호위원회가 한국파파존스에 대한 개인정보 유출 조사에 착수했다고 26일 밝혔다. 개인정보위에 따르면 한국파파존스는 홈페이지 소스코드 관리 소홀로 2017년 1월부터의 고객 주문정보가 온라인 상에 무방비로 노출됐던 사실을 뒤늦게 확인하고 지난 25일 유출을 신고했다. 노출된 고객 정보는 이름과 주소, 신용카드 번호 뿐만 아니라 공동 현관의 비밀번호도 포함된 것으로 확인됐다. 개인정보위는 구체적인 유출 경위 및 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등의 확인 절차에 돌입했다. 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 개인정보위는 "최근 홈페이지 설계 취약점으로 인해 개인정보가 유·노출되는 사고가 늘어나고 있는 만큼, 각 사업자들은 관리자페이지 접근제한, URL(유알엘) 주소 관리 등 홈페이지 운영에 각별한 주의가 필요하다"고 강조했다. yjjoe@fnnews.com 조윤주 기자

개인정보보호위원회가 각각 32만명, 8만 3000여명의 개인정보 유출 사고가 발생한 전북대학교와 이화여자대학교에 총 9억6600만 원의 과징금을 부과하고 시정조치에 나섰다. 개인정보위는 지난 11일 전체회의를 열고 개인정보가 유출된 전북대와 이화여대에 총 9억 6600만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다고 12일 밝혔다. 개인정보 유출에 따른 피해 규모 등을 고려해 전북대에게는 6억 2300만원, 이화여대는 3억 4300만원이 각 부과됐다. 두 대학 모두 학사정보시스템 구축 당시부터 존재하던 취약점을 방치해왔고, 외부 해킹 시도에 대한 야간·주말 모니터링도 제대로 이루어지지 않았던 것으로 조사됐다. 전북대는 지난해 7월 28일부터 이틀간 해커의 파라미터 변조 공격 등으로 학사정보시스템이 침해당했다. 이로 총 32만여 명의 개인정보가 유출됐다. 이 시스템의 취약점은 2010년 12월 시스템 구축 당시부터 존재했던 것으로, 무려 14년 가까이 방치되어 있었다. 또 전북대는 1997년부터 2001년 사이에 수집한 주민등록번호 233건을 보호법 개정 이후에도 파기하지 않고 보유하고 있었던 사실도 적발됐다. 이화여대도 지난해 9월 2~3일 통합행정시스템의 DB에서 대규모 정보유출이 발생했다. 해커는 약 10만 회의 파라미터 변조 시도를 통해 8만3000여 명의 개인정보, 주민등록번호를 포함한 학부생 및 졸업생 정보를 빼돌렸다. 해당 시스템은 구축 당시인 2015년 11월부터 취약한 상태였던 것으로 조사됐다. 지난해부터 전국 대학에서 21건의 개인정보 유출 신고가 접수됐다. 대학의 경우 대개 생성규칙이 단순한 '학번' 등을 기준으로 개인정보를 관리하고 있어 파라미터(입력값) 변조 공격에 취약한 측면이 있고, 대규모 정보를 처리하고 있어 유출 사고 발생 시 막대한 피해가 예상된다고 개인정보위는 우려했다. 조윤주 기자

[파이낸셜뉴스] 명품 브랜드 까르띠에의 고객 정보가 유출되는 사건이 벌어졌다. 3일 업계에 따르면 까르띠에는 고객에게 이메일을 보내 "권한이 없는 제3자가 까르띠에 시스템에 일시적으로 무단 접근해 일부 고객 정보를 취득하는 문제가 발생했다"는 사실을 알렸다. 까르띠에는 또 "신속하게 대응해 시스템, 데이터 보안을 강화하는 조치를 취했다"며 "관련 당국에 이번 사안을 공유하고 업계 최고의 외부 사이버 보안 전문가와 긴밀히 협력하고 있다"고 설명했다. 까르띠에에 따르면 고객 이름과 이메일 주소, 국가 등이 유출됐을 가능성이 있다. 다만 비밀번호, 신용카드 정보, 기타 은행 정보 등 금융정보는 영향을 받지 않았다는 점을 강조했다. 까르띠에는 "이번 사안으로 고객에게 불편을 끼쳐드린 점에 대해 깊이 사과드린다"고 밝혔다. 앞서 명품브랜드 디올과 티파니가 개인정보 유출 사건으로 개인정보보호위원회의 조사를 받는 중이다. y27k@fnnews.com 서윤경 기자