[파이낸셜뉴스] 개인정보 유출로 개인정보보호위원회로부터 역대 최대 과징금인 약 151억원 부과 처분을 받은 카카오가 행정소송을 제기했다. 11일 업계에 따르면 카카오는 지난 1일 개인정보위 과징금 부과 처분과 시정명령에 대한 불복 소송을 냈다. 개인정보위는 지난 5월 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 해 개인정보가 유출됐다며 카카오에 151억4196억원의 과징금과 780만원의 과태료를 부과한 바 있다. 카카오톡 오픈채팅방 이용자 696명 정보가 특정 사이트에 올라온 것을 포함해 해커가 약 6만5719건의 정보를 조회한 것이 개인정보보호법을 위반했다는 이유에서다. 개인정보위는 카톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 조사를 착수했었다. 당시 카카오는 회원 일련번호와 임시ID는 단순히 숫자로 구성된 문자열로 그 자체로는 어떠한 개인정보도 포함하고 있지 않다고 반박하며, "행정소송을 포함한 다양한 조치를 적극 검토하겠다"고 밝힌 바 있다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 양천구는 가정에서 폐기하기 어려운 여권을 반납받아 안전하게 폐기해 주는 ‘여권 안심폐기 서비스’를 이달부터 시행한다고 1일 밝혔다. 여권에는 개인정보가 수록돼 있어 개인정보 유출 위험이 크고, 전자칩이 내장된 특수 소재로 제작돼 개인이 여권을 자체적으로 폐기하기가 어렵다. 구는 여권을 완전히 폐기하지 못해 발생할 수 있는 개인정보 유출을 방지하고 여권 관리 불편을 해소하기 위해 안심폐기 서비스를 운영하게 됐다. 여권 안심폐기 대상은 △재발급 시 반납 처리된 여권 △유효기간 만료로 개인 보관 중인 여권 등 효력이 상실된 여권이다. 단, 기존 여권에 유효한 사증(VISA)이 부착돼 경우는 폐기 대상에서 제외된다. 폐기 신청된 여권은 전자여권의 경우 한국조폐공사에 전달돼 전문폐기 절차를 거친다. 전자여권이 아닌 전사·부착식 여권(긴급여권)은 구청에서 자체 폐기한다. 여권 안심폐기 서비스를 이용하고자 하는 구민은 신분증과 효력 상실한 여권을 지참해 양천구청 1층 종합민원실을 방문하면 된다. 미성년자의 경우 법정대리인이 방문해 신청할 수 있다. 한편 구는 구청 종합민원실 방문객에게 실시간 대기번호와 대기현황을 알려주는 ‘대기순번 알림톡’ 서비스도 시행 중이다. 기존에는 종이 번호표 발권 후 장시간 대기해야 하는 불편함이 있었지만, 알림톡 서비스를 통해 대기인 수와 예상 대기시간을 실시간으로 확인할 수 있어 민원 편의성을 높였다는 평가를 받고 있다. 이기재 양천구청장은 “간편한 신청으로 처리 가능한 여권 안심폐기 서비스로 소중한 개인정보를 안전하게 지키길 바란다”면서 “앞으로도 구민 편의를 높이고 체감도 높은 맞춤형 행정서비스를 제공할 수 있도록 노력하겠다”고 말했다. banaffle@fnnews.com 윤홍집 기자

[파이낸셜뉴스] 개인정보보호위원회는 23일 전체회의를 열고 개인정보보호 법규를 위반한 온라인 쇼핑몰 네오팜과 일학 등 2곳에 대해 과징금 총 1억 2317만원과 과태료 1080만원을 부과하기로 의결했다고 24일 밝혔다. 개인정보위에 따르면 화장품 등을 판매하는 온라인 쇼핑몰인 네오팜에선 지난해 해커가 쇼핑몰 관리자 계정을 사전에 획득한 뒤 웹 관리자 페이지에 접속해 쇼핑몰 전체 회원의 개인정보를 빼냈다. 해커는 작년 8월 5일부터 약 2주간 쇼핑몰 웹 관리자 페이지에 750차례 접근해 29만여 명 회원 정보를 조회하고 내려받았고, 약 44만 건의 불법 문자도 발송했다. 개인정보위는 이같은 대규모 유출 사고가 발생한 이유로 네오팜의 개인정보 처리시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로 로그인이 가능하게 운영되고 있던 점을 꼽았다. 특히 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등을 제한하지 않는 등 안전조치 의무를 위반한 것으로 파악했다. 네오팜이 개인정보 취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근 권한에 대한 관리도 소홀했고, 유출된 이용자를 대상으로 개인정보 유출 통지를 지연한 사실도 확인했다. 개인정보위는 네오팜에 과징금 1억517만원과 과태료 720만원을 부과하고, 개인정보위 홈페이지에 그 결과를 공표하기로 했다. 낚시용품 쇼핑몰인 일학은 2023년 12월 17일부터 이틀간 해커의 SQL(데이터베이스 조회 등에 사용하는 프로그램 언어) 삽입 공격을 받아 개인정보가 유출됐다. 개인정보를 유출한 해커는 일학의 쇼핑몰 게시판에 1만명의 개인정보를 게시하기도 했다. SQL 삽입 공격은 해커가 웹사이트 취약점을 이용해 악의적인 SQL 명령어를 실행하게 해 데이터베이스를 비정상적으로 조작하는 공격 기법을 말한다. 조사 결과 일학은 웹관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템도 부실하게 운영했던 것으로 확인됐다. SQL 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치 의무 위반도 파악됐다. 개인정보위는 일학에 과징금 1800만원과 과태료 360만원을 부과하고, 사업자 홈페이지에 그 사실을 공표하도록 명령했다. 개인정보위는 웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보 취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다고 강조했다. 개인정보위 관계자는 "SQL 삽입 공격처럼 잘 알려진 웹 취약점 공격에 대해서는 적절한 보안 조치 등 지속적인 주의가 필요하다고"고 강조했다. wongood@fnnews.com 주원규 기자

[파이낸셜뉴스] 인천국제공항공사는 지난 14일 스마트패스시스템 등 공항 내 5개의 중요 개인정보처리시스템에 대한 개인정보 유출 및 침해사고 대응훈련을 실시했다고 15일 밝혔다. 훈련은 가상의 시나리오를 각 중요 시스템별로 부여하고 침해사고 대응 매뉴얼에 따라 실제상황과 같이 실행해보며 대처 방법을 숙지하는 방향으로 진행됐다. 인천국제공항공사 사이버보안센터 직원과 각 시스템별 담당자, 보안 전문업체 SK쉴더스 등 16명이 참여한 훈련은 △사고대응반과 대응지원반 구성 △피해 최소화 및 긴급조치 △유출 통지 및 신고 △피해 구제 및 재발 방지 순으로 이뤄졌다. 이를 통해 관계 기관 및 담당자들은 개인정보 침해 유관부서의 실무 대응 방법 및 조직간 체계적인 업무분장을 사전에 숙지해 실제 상황 발생 시 유기적 대응책을 마련할 수 있도록 대응 역량을 제고했다. 이학재 인천국제공항공사 사장은 "이번 훈련을 통해 정보보안 담당자들의 역량을 강화하고 관련 수칙을 실천할 수 있었다"며 "디지털 전환이 가속화되는 환경 속에서 개인정보보호의 위협요인이 증가함에 따라 공항의 모든 시스템이 안전하게 운영될 수 있도록 최선을 다하겠다"고 말했다. hoya0222@fnnews.com 김동호 기자

[파이낸셜뉴스] 최근 4년간 유출된 개인정보 건수가 8000만건에 육박하고 있으나 개인정보보호위원회는 개인정보 유출에 대비해 손해배상 책임보험에 가입해야 할 의무 대상 기관조차 파악하지 못하고 있다는 지적이 나왔다. 7일 강민국 국민의힘 의원이 개인정보위에서 받은 '개인정보 유출기관 및 유출 규모 현황'을 보면 지난 2021년부터 2024년 9월까지 개인정보가 유출된 기관은 337곳이었다. 유출기관을 민간과 공공기관으로 분류해보면 민간은 311곳(82.5%), 공공기관은 66곳(17.5%)으로, 유출기관 10곳 중 8곳은 민간기관이었다. 연도별로 보면 2021년 60곳에서 2022년 84곳, 지난해 153곳으로, 올해는 9월까지 80개 기관에서 개인정보가 유출됐다. 같은 기간 이들 기관에서 유출된 개인정보의 수는 무려 7735만건에 달했다. 민간이 7101만건(91.8%), 공공기관이 634만건(8.2%)이었다. 이 기간 개인정보 유출에 따라 부과된 과징금 규모는 약 254억원이었다. 공공이 15억원, 민간이 245억원이었다. 개인정보위는 개인정보 유출에 따른 손해배상책임 이행시 자금조달이 어려운 사업체를 위해 지난 2020년부터 개인정보 손해배상 책임보험 가입을 의무화했다. 가입 대상은 전년도 매출액 등이 10억원 이상에 정보 주체 수가 1만명 이상인 곳이다. 하지만 손해배상책임보험 가입 건수는 2020년 9195건(보험료 152억9700만원)에서 올해 8월 기준 8651건(169억600만원)으로 오히려 줄어들었다. 지난 4년간 개인정보 손해배상 책임보험 지급건수는 9건에 그쳤는데, 같은 기간 유출 건수 대비 0.00001%에 불과한 수준이었다. 특히 개인정보위는 개인정보 손해배상 책임보험이 시작된 지 5년째에도 보험제도 의무이행 대상 기관조차 파악하지 못하고 있고, 미이행 시 처벌 규정조차 마련하지 못한 것으로 드러났다. 강 의원은 "개인정보보호위원회 출범 5년째로 유출된 개인정보가 8000만건에 육박하고 있음에도 손해배상 책임보장제도 의무이행 대상조차 파악 못 하는 것은 개인정보보호위원회의 책임이 크다"고 지적했다. 이어 "손해배상 책임보장제도 실효성 확보를 위한 정책연구의 조속한 완료, 미이행 시 처벌 규정 마련, 영세업자에 대한 개인정보 손해배상 책임보험료 지원방안 등이 검토돼야 한다"고 촉구했다. wongood@fnnews.com 주원규 기자

[파이낸셜뉴스] 방송통신심의위원회 직원이 민원인의 개인정보를 유출했다는 의혹과 관련해 경찰이 방심위 사무실 등을 압수수색하고 있다. 10일 경찰에 따르면 서울경찰청 반부패범죄수사대는 이날 오전 8시부터 서울 양천구 목동 한국방송회관 방심위 사무실과 노조 사무실, 방심위 서초사무소, 민원인 개인정보 유출과 관련된 직원 주거지 등에 수사관을 보내 관련 자료를 확보 중이다. 앞서 뉴스타파와 MBC는 류희림 방심위원장이 가족 등을 동원해 뉴스타파의 '김만배-신학림 허위 인터뷰' 보도와 인용 보도들에 대해 방심위에 민원을 넣도록 했다는 의혹이 있다고 보도했다. 이에 대해 방심위는 공익신고자가 불법적으로 민원인 개인정보를 유출했다며 지난해 말 수사를 의뢰했다. 경찰은 지난 1월 방심위 사무실을 압수수색하는 등 강제수사에 착수했다. unsaid@fnnews.com 강명연 기자

【 전주=강인 기자】 해킹으로 32만명의 개인정보가 털린 전북대학교에 논란이 지속되고 있다. 7일 전북대와 경찰에 따르면 지난 1일 전북대 대학통합정보시스템인 '오아시스'가 해킹 당해 학생과 졸업생, 평생교육원 회원 등 32만2425명의 개인정보가 유출됐다. 해킹은 지난달 28일부터 세 차례에 걸쳐 시도된 것으로 전해졌다. 유출된 개인정보는 이름, 주민등록번호, 전화번호, 이메일, 학사정보 등이 포함된 것으로 조사됐다. 현재까지 금전 피해나 범죄에 연루되는 등 2차 피해 사례는 없는 것으로 확인됐다. 경찰은 지난 1일부터 해당 사건을 인지하고 수사에 착수했다. 해킹에 사용된 IP와 당시 접속 기록 분석을 하고 있으며, 해커가 가상 사설망(VPN)을 사용했을 가능성을 염두에 두고 국제 공조 수사를 요청한 상태다. 또 해커에 대한 수사에서 나아가 개인정보 관리 주체인 전북대 측 관리가 소홀한 부분이 있었는지도 들여다볼 계획이다.다만 전북대의 과실이 있다고 하더라도 형사처벌은 힘들다는 입장이다. 해당 사안은 개인정보보호법에 의거해 과태료 부과 사안이기 때문이다. kang1231@fnnews.com

[파이낸셜뉴스] 최장혁 개인정보보호위원회 부위원장은 6일 서울 정부서울청사에서 열린 정례브리핑에서 "'티몬·위메프 사태'에서 개인정보 유출을 모니터링한 결과 현재까지 특별한 이상은 발견되지 않았다"고 말했다.  앞서 개인정보위는 티몬·위메프 사태 이후로 가입자들의 개인정보 유출에 대한 우려가 커지자 개인정보 처리실태를 모니터링하고 있다고 밝힌 바 있다.  티몬·위메프의 개인정보 관리를 위탁 받아 담당 중인 큐텐테크놀로지 유한회사의 개인정보보호책임자(CPO)와 소통하며, 개인정보 처리실태를 선제적으로 확인했다는 설명이다.  아울러 개인정보위는 중국 이커머스 업체인 테무 관련 개인정보보호 조사결과를 마무리하고 이르면 9월 제재여부도 결정할 방침이다.  개인정보위는 지난달 개인정보 보호법 위반 관련 알리익스프레스에 대한 조사 결과는 발표했다. 개인정보보호 법규를 위반한 알리익스프레스에 대해선 19억7800만원의 과징금과 780만원의 과태료, 시정명령 및 개선권고를 부과하기로 의결했다. 그러나 또 다른 중국 이커머스 업체인 테무는 추가 확인 및 자료제출 보완요구 등을 거쳐 심의 및 의결하기로 했다.  최 부위원장은 "테무 아시아태평양 담당자와 얘기해 보니 9월 쯤 회계 자료가 오픈된다고 한다"며 "(조사 결과 발표는) 그 전후가 될 것 같은데 구체적인 날짜는 우리 쪽 실무진과 테무 실무진이 협의하고 있다"고 했다.  이어 그는 "글로벌 기업들은 우리나라와 재무제표 작성이나 공시하는 방식이 달라 외국 기관 통해 공개된 자료를 확인하는 시간이 걸리고 있다"며 "테무는 한국에서 서비스한 지 얼마 안돼 시간이 더 걸린다. 협조 통해서 자료 확보되는대로 분석 통해서 합당한 조치 처분할 것"이라고 덧붙였다.  한편 개인정보위는 지난 5월 이용자 개인정보 점검 및 보호 조치 소홀 등의 이유로 카카오에 151억원의 과징금을 부과한 건에 대해 카카오 측에 아직 처분서를 전달하지 않았다고 전했다. 최 부위원장은 "카카오가 소송을 제기하겠다고 한 만큼 처분서는 개인정보위의 공식 입장인 셈"이라며 "신중하게 법리적 부분의 완성도를 높여서 가져가려고 하기 때문에 시간이 더 걸리고 있다. 시한에 쫓겨서 서둘러 (처분서를) 만들 생각은 없다"고 했다.  soup@fnnews.com 임수빈 기자

【파이낸셜뉴스 전주=강인 기자】 전북대학교 통합정보시스템 개인정보 32만 건이 해킹으로 유출돼 대학 측이 대책 마련에 나섰다. 1일 전북대에 따르면 지난달 28일 세 차례에 걸쳐 대학통합정보시스템인 ‘오아시스’에 대한 해커의 개인정보 탈취 시도가 있었다. 조사결과 학생 및 졸업생, 평생교육원 회원 등 32만2425명의 개인정보가 유출된 것으로 확인됐다. 유출된 개인정보는 이름, 주민등록번호, 전화번호, 이메일, 학사정보 등이 포함된 것으로 조사됐다. 전북대는 공격 직후인 지난달 29일 해킹 시도를 인지하고 홍콩과 일본에 있는 공격 IP와 불법 접속 경로를 차단했다. 이어 공격 받은 시스템 취약 경로에 대한 보완 조치를 완료했다. 이어 기관 개인정보 유출사고 대응 매뉴얼에 따라 즉시 개인정보침해사고 대응반을 꾸리고, 개인정보 유출에 대한 피해사실을 대학 홈페이지와 개별 공지를 통해 적극 알리며 공식 사과했다. 교육부 사이버안전센터(ECSC) 신고 등 유관기관과 긴밀히 협력해 해당 사건에 대해 조사를 진행하고 있다. 개인정보 유출 피해를 최소화하기 위해 피해사실 조회 페이지를 운영하고, 2차 피해 접수를 위한 피해 접수창구도 별도로 운영키로 했다. 전북대 홈페이지 내에 마련된 ‘개인정보 유출 내역 조회하기’를 이용해 개인정보 유출 내역을 확인할 수 있다. 김순태 전북대 정보혁신처장은 “결코 일어나서는 안 될 일이 발생한 데 대해 머리 숙여 사과드린다”라며 “이번 사건을 계기로 통합정보시스템을 포함한 모든 정보시스템 접근에 대한 2단계 인증 의무화를 포함해 대폭 강화된 보안 대책을 수립하고, 홈페이지 등 해킹 취약 부분에 대한 심층 점검 등을 신속하게 추진하겠다”고 전했다. kang1231@fnnews.com 강인 기자

[파이낸셜뉴스]법원과 검찰청, 경찰청에 소속된 수십명의 개인정보가 해외 온라인 사이트에 공개돼 경찰이 입건 전 조사(내사)에 착수했다. 20일 경찰에 따르면 경찰청 사이버테러대응과는 지난달부터 이 개인정보 유출 사건에 관한 내사를 진행중이다. 경찰은 구체적인 범죄 혐의점을 확인해 조만간 정식 수사로 전환할 것으로 알려졌다. 경찰 등에 따르면 ‘워페어(Warfare)’라는 개정을 쓰는 해커가 지난 3월 해외 해킹 커뮤니티에 법원과 검찰, 경찰 직원 40명의 이름과 내부망 계정 및 비밀번호로 추정되는 정보가 포함된 게시물을 올렸다. 여기에는 법원과 검찰청, 경찰청 소속 40명의 이름과 내부망 계정 및 비밀번호로 추정되는 정보가 포함됐다. 피해자 중에는 고위 법관 1명도 있는 것으로 전해졌다. 지난 4월에는 같은 계정명으로 삼성전자와 현대자동차 직원들로 추정되는 인물 수십명의 이름, 계정, 비밀번호가 담긴 글도 올라왔다. 이 글을 올린 사용자는 "해킹을 통해 정보를 얻었다"며 "기억하라, 북한이 낫다"는 취지의 글도 남겼다. beruf@fnnews.com 이진혁 기자