[뉴스워커_기획] 최근 많은 기업과 기관에서 해킹과 같은 외부요인의 문제가 아닌 개인정보처리자의 관리상 실수로 인해 개인정보가 유출되는 사고가 발생하고 있다.
과학기술정보통신부가 발표한 ‘2020년 정보보호 실태조사’에 따르면 네트워크에 연결된 컴퓨터를 보유한 9000개 업체 중 국내 사업체의 51.6%는 고객의 개인정보를 온라인 또는 오프라인으로 수집하는 것으로 조사됐다. 대부분의 사업체는 주로 홈페이지 회원가입을 통해 고객의 개인정보를 수집하며, 수집된 개인정보는 고객상담 및 회원관리·고객 본인인증 및 성인인증·홍보/마케팅 행사 운영 등에 활용하기 위한 것으로 나타났다.
조사에 따르면 국내 사업체들이 가장 우려하는 정보보호 위협요인은 '개인정보 유출 위험'이며, 가장 우려되는 개인정보 유출요인으로는 '외부로부터의 해킹'(64.1%, 복수응답)이 아닌 ‘관리 실수로 인한 유출’(76%)이 이었으며 '내부자에 의한 고의 유출'(43.8%)을 우려하는 기업도 다수 있는 것으로 나타났다.
국내 사업체는 현재 근무 중이거나 퇴사한 직원을 개인정보 유출에 관한 정보보호 인적 위협요인으로 지목하고 있지만, 역설적이게도 이 중 임직원을 대상으로 정보보호 또는 개인정보보호 교육을 실시한 사업체 비율은 36%에 불과한 것으로 나타났다.
인천 부평구 보건소 직원의 개인정보 유출
인천에 거주 중인 A씨는 지난 8일 국민신문고와 부평구청에 보건소 직원이 자신의 개인정보를 유출해 큰 피해를 입었다는 민원을 제기했다.
A씨가 작성한 글에 따르면 오랜 기간 한 남성으로부터 협박 및 스토킹 피해를 본 A씨는 지난 4월 스토킹 가해자를 피하고자 타지역으로 이사했다. 하지만 A씨는 스토킹 가해자로부터 이사한 A씨의 주소를 알아냈다는 연락을 받게됐다.
당시 A씨는 신종 코로나바이러스 감염증(코로나19) 확진자의 접촉자로 분류돼 방역 당국이 관리하는 자가격리 대상이었으며, 이 사실을 알고있던 스토킹 가해자는 보건소에 연락해 이사한 A씨의 주소를 알아낸 것이다.
이에 부평구청 관계자는 <뉴스워커>와의 통화를 통해 보건소 직원이 개인정보 보호 의무를 소홀히 하였음을 밝혔다.
관계자는 “해당 보건소 직원은 A씨의 이름과 개인정보를 언급하는 스토킹 가해자를 A씨의 가족이라고 생각해 집 주소를 알려준 것 같다”라며 보건소 직원이 개인정보를 누설하는 과정에서 문의자의 신원조차 확인하지 않았음을 밝혔다.
이에 개인정보보보호위원회 관계자는 “업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 이에게 제공하는 행위는 금지 행위로, 이에 대해서는 경찰 수사가 진행 중인 것으로 알고 있다”라며 “개인정보의안전성확보조치기준에 의해 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안정성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 지켜야 한다”라고 전했다.
홈페이지 내 고객의 개인정보를 노출한 GS25와 위버스(Weverse)
GS25와 글로벌 팬 커뮤니티 플랫폼 위버스(Weverse)도 최근 개인의 부주의로 인한 개인정보 유출 사고를 겪었다.
지난 6일 GS25가 ‘코로나19 예방 접종 천만명 돌파 기념 감사 이벤트’의 당첨자를 발표하는 과정에서 약 3시간30분 동안 2000명의 이름·전화번호 등 개인정보를 노출한 것으로 확인됐다.
GS25관계자는 <뉴스워커>와의 인터뷰를 통해 “SNS이벤트를 운영하는 협력사 직원의 실수로 일부 고객의 개인정보가 마스킹 처리되지 않고 그대로 노출됐다”라며 “GS25는 개인정보 유출 사실을 인지한 즉시 해당 내용을 삭제했으며, 개인정보 유출 피해자분들께 이 같은 내용을 담은 문자를 발송해 개인정보 유출 사실을 알린 뒤 적법한 자진 신고 절차를 7월7일 완료했다”라며 해당 유출 사고가 개인의 실수로 인해 발생했음을 알렸다.
이어 “이번 일로 고객분들께 2차 피해가 없도록 최선을 다하는 한편, 협력사와 업무 프로세스를 정비하는 등 재발 방지를 위한 최선의 노력을 기울일 예정”이라고 밝혔다.
글로벌 팬 커뮤니티 플랫폼 위버스는 지난달 9일 구글 서베이를 활용한 걸그룹 여자친구 멤버십 환불안내 및 정보를 수집하는 과정에서 권한 설정 오류로 인해 약 9분간 회원 22명의 성명·이메일·전화번호 등 개인정보를 유출했다.
이후 쏘스뮤직은 위버스 홈페이지 내 사과문을 통해 “멤버십 운영 차원에서 일부 개인정보 처리 업무를 플랫폼에 위탁하고 있기에, 개인정보 처리 업무의 위탁자로서 철저히 관리·감독하였어야 하나 이를 소홀히 한 책임이 있다”라며 “사고 사실을 인지한 즉시 오류를 바로잡았고 곧바로 개인정보보호위원회에 개인정보 유출 사실을 신고하였으며 개인정보가 유출된 회원을 대상으로 혹시 모를 피해 예방을 위한 조치와 피해 접수 및 상담처, 보상안을 안내했다”라고 전했다.
개인정보 관리, 안전장치가 필요하다
지난해 개인정보보호위원회가 발간한 ‘개인정보의 안전성 확보조치 기준 해설서’는 개인정보처리자가 반드시 준수해야 하는 최소한의 기준으로 ▲내부 관리계획의 수립 시행 ▲접근 권한의 관리 ▲접근통제 ▲개인정보의 암호화 ▲접속기록의 보관 및 점검 ▲악성프로그램 등 방지 ▲관리용 단말기의 안전조치 ▲물리적 안전조치 ▲재해 재난 대비 안전조치 ▲개인정보의 파기 등을 권고하고 있다.
유출된 개인정보에는 개인의 금융 및 신용정보 등이 담겨있지 않을지라도, 주민등록번호나 휴대전화 번호, 주소, 이메일 등만으로도 수많은 범죄 가능성이 있지만, 개인정보가 유출된 피해자들은 2차 피해를 막을 수 있는 방법은 ‘개인이 2차 피해에 대한 경각심을 가지는 것’ 외에는 없는 상황이다.
실제 개인정보 유출 사고로 인해 피해자들은 문자 메시지와 전화, 이메일 등에 대한 스팸 등의 직접적 피해뿐만 아니라 취득한 개인정보를 이용해 범죄자들이 피해자에게 전화를 걸어 공공기관을 사칭해 금품을 가로채는 등의 보이스피싱 범죄의 표적이 될 우려도 있다.
이에 지방자치단체에 문서 관리 및 보안 통합 솔루션을 제공하고 있는 파수 관계자는 <뉴스워커>와의 인터뷰를 통해 “개인의 부주의로 인한 개인정보 유출 사고를 방지하기 위해 문서보안(DRM)과 같은 안전장치를 도입하는 것이 방법이 될 수 있다”고 주장했다.
관계자는 “기업이나 기관들이 보유한 모든 정보의 위치 파악이나 중요 정보에 대한 접근권한 통제가 지속해서 이뤄질 수 있도록 DRM을 적용하는 것을 데이터보안의 기본으로 고려돼야 한다”라며 해킹과 같은 외부요인으로 인한 유출뿐만 아니라 내부자의 고의나 실수와 같은 위협을 예방 및 대처하기 위한 안전장치가 필요하다고 전했다.