기업은 개인정보 유출사고가 발생하면 일단 몸을 낮추고 고객은 물론 모든 네티즌들에게 사과한다. 그리고 경찰 및 조사기관의 사고조사에 적극 협조하겠다고 한다.
그리고 방송통신위원회는 과태료와 과징금 수준을 결정하고 부과한다.
기업의 태도는 돌변한다. 대부분 과태료 보다는 징벌적 처분인 과징금이 과하다고 징징대고 행정소송을 제기한다. 법원은 기업이 내민 이런저런 소명자료와 핑계를 들여다 보고 과징금이 과하다며 절반이상 씩 감면해 준다.
이 스토리는 일반적으로 기업들이 사고를 쳤을 때 쉽게 찾아볼 수 있는 기업과 검경과 법원이 짜고치는 고스톱 같은 스토리였다.
하지만 요즘.. 개인정보유출사고에 대한 방통위는 물론 검,경과 법원의 태도는 사뭇 다르다. 지난 달 (2019년4월29일) 이스트소프트가 1억2천만원의 과징금이 너무 많다고 제기한 행정소송에서 원고 패소하고 과징금이 확정됐다.
이스트소프트 개인정보 유출사건
이스트소프트는 백신(알약), 압축유틸리티(알집) 등 알 시리즈로 유명한 유틸리티SW와 게임, 보안SW 등을 자체개발해 공급하는 국내 유수의 SW개발사다.
그리고 그 제품들 중 계륵과 같은 제품이 있는데 바로 알패스다. 이용자들이 여러 웹사이트에 접속할 때 사용하는 ID와 비밀번호 관리에 애를 먹는다는 점에 착안 수많은 웹사이트의 ID와 비밀번호를 알패스 서버에 저장하고 해당 사이트에 로그인할 때 자동으로 입력해주는 매우 편리할 수 있지만 엄청난 위험을 감수해야 하는 서비스이자 유틸리티다.
가장 큰 문제는 이용자가 접속하는 수 많은 웹사이트의 ID와 비밀번호를 이스트소프트에서 운용하는 DB서버에 모두 수집해 저장한다는 점이다. 아무리 암호화를 복잡하게 해도 어느 시점에는 암호화 된 비밀번호를 평문으로 복호화 해 전송하거나 마지막 복호화 단계의 키와 암호문이 유출되기 쉬운 지점이 있기 마련이다.
그리고 알패스를 이용해 여러 웹사이트의 ID와 비밀번호를 자동으로 입력하기 위해 이용자들은 IE 브라우저에 알툴바를 설치하고 이스트소프트 통합계정을 통해 로그인을 해야 했다.
지금도 알패스를 제외한 알툴바 서비스는 계속된다.
아래는 알패스를 이용해 웹사이트에 로그인 할 때의 화면이다.
현재 알패스 서비스는 종료되었다.
사고 조사단의 조사 결과 해커는 다른 곳에서 취득한 ID와 비밀번호와 비밀번호 사전을 이용해 알툴바 로그인에 대입해 로그인이 가능한 이용자를 구분하였고 로그인이 가능한 이용자가 알패스에 등록한 여러 웹사이트의 주소와 ID, 그리고 비밀번호를 수집한 것으로 알려졌다.
그렇게 수집한 알패스 이용자 ID와 비밀번호가 약 17만건, 그리고 17만명이 등록한 외부 웹사이트의 ID와 비밀번호가 약 2,500만건 이라고 알려져 있다. (관련기사 보러가기)
문제는 바로 17만명의 이용자들이 등록한 약2,500만건의 외부 사이트 ID와 비밀번호다. 2차 피해로 이어질 수 있는 매우 치명적인 개인정보이기 때문이다.
해커는 2차 공격 시도와는 별개로 이스트소프트에 “돈 내놔라”를 시전했고 이스트소프트는 곧 바로 해킹사실을 신고했다. 조사단의 추가 조사 결과 해커는 획득한 이용자의 정보를 토대로 신분증 이미지는 물론 매우 상세한 개인정보를 2차 해킹했고 그 정보를 이용해 서버 임대는 물론 전화까지 개통해 추가 공격을 시도했으며 일부는 암호화폐 사이트에 접속해 암호화폐까지 출금한 것으로 확인되어 2차 피해는 현실화되었다.
과태로 1천만원, 과징금 1억2천만원
방통위는 이스트소프트에 과태료는 1천만원, 과징금은 1억2천만원을 부과했다.
조사 결과 여러 문제점들이 발견되었지만 가장 중대한 문제는 “이용자들의 매우 치명적인 개인정보를 수집, 저장하고 있으면서 이용자들의 접속 로그를 분석해 공격을 탐지해내지 못한 과실이 있다”는 점이다.
해커는 소수의 IP에서 여러명의 ID와 비밀번호로 2억건 이상의 접속을 시도하였고 그 중 1억6천만건의 실패 로그가 발생했음에도 이스트소프트는 이를 전혀 탐지하지 못하는 과실을 저질러 의무를 소홀히했다는 판결이다.
하지만 이스트소프트는 과징금이 과하다며 행정소송을 제기했고 오랜 시간의 재판끝에 과징금 1억2천은 정당하다는 판결을 내렸다.
아마도 개인정보유출 사고에 대한 처벌은 점점 더 강해질 것이다. 개인정보 유출이 금전적인 피해로 이어지는 것은 물론 이용자와 이용자의 가족까지도 위협할 수 있기 때문이며 EU의 GDPR 등의 사례를 보더라도 이용자 개인정보보호에 대한 의무를 기업에게 더욱 강하게 요구하는 것이 세계적인 흐름이기 때문이다.
그런 흐름 때문인지 개인정보유출사고(2,540만건)를 일으켜 45억원의 과징금을 부과받아 과징금 취소소송을 제기했던 인터파크도 패소(2018년 7월 판결)하기도 했다. (물론 2심을 지켜봐야겠지만..)
그럼에도 불구하고 아직은 이용자 개인정보에 대한 기업들의 보호조치는 아직까지도 매우 낮은 수준인 것이 사실이다. 대기업에 준하는 기업들만 보더라도 개인정보보호법과 정보통신망법에서 요구하는 개인정보보호와 관련된 요구사항을 준수하기 위해 많은 돈을 어쩔 수 없이 쏟아붓긴 하지만 기업의 정보보호에 대한 의지는 쏟아부운 돈 만큼 보이지 않는 경우가 태반이다.
아무리 돈을 쏟아 부어도 정보보호에 대한 경영진의 의지가 보이지 않는다면 정보보호 수준은 낮아질 수 밖에 없다. 사람의 건강에 비유하자면 건강을 위해 보약 아무리 먹으면 뭐하나 술, 담배는 물론 생활 습관이 엉망인데.. 보약으로 버틸 수 있는데는 한계가 있는 법이다.