프라이버시 이슈를 보다, 프리-뷰 안녕하세요. 구독자님! 오늘의 프리-뷰는 최근 기승을 부리고 있는 크리덴셜 스터핑이 무엇이며, 실제 피해 사례에 대해 알아보고, 이슈가 된 몇 사례들과 최근 발행된 가이드라인에 대해서도 소개드릴게요. 물론, 해외소식까지 놓치지 않고 정리했어요😊 |
|
|
모든 사이트에서 똑같은 비밀번호 사용하시나요?
🙅♀️ 안돼!! 이제는 정말 바꾸셔야 해요.
올해 들어 크리덴셜 스터핑을 이용한 개인정보 유출이 계속되고 있어요.
크리덴셜 스터핑이란?
다른 곳에서 유출된 사용자들의 ID와 비밀번호를 이용해 여러 사이트에 로그인을 시도하고, 로그인이 될 경우 개인정보나 자료를 유출하는 무차별 대입 방법을 말해요. 같은 아이디와 비밀번호를 여러 사이트에 동일하게 사용하는 사람이 많다는 점을 이용한, 아주 기본적이면서도 강력한 공격 방법이죠. |
|
|
최근 피해 기업만 해도..
- G마켓: 최근 피해 기업 중에 가장 피해 범위가 커 보여요. 이용자 중에서도 상품권 구매자가 크리덴셜 스터핑의 타깃이 되었어요. G마켓에서 구매한 상품권의 PIN 번호가 구매 내역에서 추가적 인증 조치 없이도 그대로 노출되는 점을 이용해 해커가 이를 탈취해간 거죠. 다른 쇼핑몰 업체에서는 PIN 번호 확인을 위해 휴대폰 인증을 추가로 요구하거나 등록된 휴대전화번호의 문자 발송을 통해서만 안내하고 있는 반면, G마켓에서는 이러한 보안 구조가 없었기 때문에 더욱 공격에 취약했어요.
- 인터파크: 크리덴셜 스터핑을 이용한 개인정보 유출 정황이 확인되었어요. 정확한 규모는 확인 중으로, 유출 여부는 이곳에서 확인하실 수 있어요. 인터파크는 과거 2016년에도 1000만 명의 개인정보가 유출되어 과징금 44억을 부과 받은 사례가 있습니다.
- 페이팔(해외) : 작년 12월, 3만 5천 명의 개인정보가 유출됐어요. 이 정보를 이용한 악의적인 거래 시도는 없었다고 해요. 개인정보 유출자들에게는 비밀번호 재설정을 안내하였고, 신원 도난 모니터링 서비스를 무료로 제공해 줄 예정이예요.
|
|
|
다 가명처리해서 쓸 수 있는 거 아니었어?
SK텔레콤 가입자들과 시민단체가 함께 통신사를 상대로 개인정보 가명처리 정지를 요구한 소송에서 법원이 이용자의 권리를 인정한 판결을 내렸어요. 이에 따라 이용자가 가명처리 중단을 요청하면, 기업은 해당 정보주체의 개인정보는 가명처리할 수 없게된 거죠. 정부에서는 가명처리를 하면 과학적 연구, 통계 분석, 신제품 개발 목적까지도 가명정보를 활용할 수 있다고 안내해왔는데, 이제보니 쓸 수 없는거라고요? 이대로 데이터 산업 활성화에 제동이 걸리는 걸까요?
*가명정보: 개인정보의 일부를 삭제하거나 전부를 대체하여, 추가적인 정보 없이는 특정 개인을 알아볼 수 없는 정보
먼저 소송에 대해 양측 입장을 알아보자면
- 시민단체: 개인정보처리자가 내 정보를 어떻게 처리하는지에 대한 열람요구권(개인정보 보호법 제35조), 내 개인정보 처리의 정지를 요구하는 처리정지권(개인정보 보호법 제37조)은 정보주체의 기본 권리야. 내 정보를 가져가놓고 어떻게 쓰는지 확인도 못하면 너네가 마음대로 쓰는지 아닌지 어떻게 알아?
- SK텔레콤: 가명처리는 정보주체의 동의 없이도 할 수 있어(개인정보 보호법 제28조의2). 그리고 가명정보는 열람, 처리정지 요구의 대상이 아니야(개인정보 보호법 제28조의7). 모두 법에서 명시하고 있다고! 가명정보만으로는 어차피 개인을 판별하기도 힘들어.
재판부의 판결은..
재판부는 '가명처리 정지요구'에 대해 가명정보에 대한 사실상 유일한 결정권 행사 방법인 점과, 반드시 처리정지 요구권을 원천적으로 제한하여야만 데이터 산업 발전이라는 목적을 달성할 수 있는 것이 아닌 점 등의 여러 사정을 고려하여 원고 승소 판결을 내렸어요. 개인정보보호위원회가 발간한 가명정보 처리 가이드라인에서도 ‘가명정보의 처리’가 아닌 ‘개인정보의 가명처리’에 대해서는 가명처리 정지를 요구할 수 있다고 했고요.
이번 판결은 아직 1심에 해당하기 때문에 추후 재판에 따라 결과가 달라질 수 있어요. SK텔레콤 측이 항소할 가능성도 있고요. 법률 해석 방향에 따라 논쟁의 여지가 있는만큼 앞으로의 재판 소식을 기다려봐야겠습니다.
|
|
|
“대기업보다 낫다” 개인 유튜버의 책임감
사건 요약
- 유튜버가 런칭한 쇼핑몰에서 개인정보 노출 사고 발생
- 사고 다음날 피해 상황 공지, 일주일 만에 보상안 발표
약과 쇼핑몰에서 개인정보 노출?
최근 젊은 층 사이에서는 약과가 큰 유행입니다🥰. 약과 유행의 시작은 먹방 일상 유튜버 ‘여수언니 정혜영’ 씨였어요. 이 분이 한 업체의 약과가 맛있다고 유튜브에서 언급한 이후, 약겟팅(약과 티켓팅)이 심해졌고, 더 이상 본인도 사 먹을 수 없는 상황이 되자 직접 맛있는 약과를 개발해 쇼핑몰 판매를 시작했어요.
쇼핑몰 오픈일은 1월 12일 목요일. 유튜버 팬들, 약과 팬들, 수많은 사람들의 기대가 모아졌던 탓일까요. 여수언니도 이렇게까지 인기가 어마 무시할 거라곤 예상하지 못했나 봐요. 쇼핑몰 오픈 첫날부터 서버가 터지고 주문 내역에서 다른 사람의 개인정보가 보이기까지 했어요.
사과문에도 싸늘한 여론
이에 여수언니는 바로 다음날 인스타 게시글을 통해 사과문을 발표했어요. 하지만 이에 대한 반응은 싸늘했습니다. 트래픽 초과를 대비하지 못한 허술한 일 처리와 개인정보 노출에 이어 사과문까지 감정 호소에 급급해 보였기 때문. 기대감이 큰 만큼 실망감도 컸던거죠😡.
일주일 만에 여론이 180도 달라지다
하지만 일주일 만에 개인정보 노출 여부 확인 절차 및 보상안 안내 글을 게시하자 사람들의 호평이 쏟아졌어요. 게시글에는 정확한 피해 상황과 원인 설명, 후속 대응 조치 안내, 보상안 지급까지 자세히 안내되어 있었거든요. 당장의 손해를 감수하면서도 피해자들을 위한 보상까지 책임지는 모습은 일반적인 대기업에서도 보기 힘든 모습이었고요.👍
대부분 개인정보 유출 사고가 발생하면 피해자들은 보상을 받기 어려운 것이 현실이에요. 대기업에서 사고가 발생해도 보상까지 지급하는 경우는 드물고, 있다 하더라도 소송을 제기한 일부 피해자들만 10만 원 정도를 지급받는 게 대다수죠. 작은 기업에서 개인정보가 유출되면 공지조차 제대로 이뤄지지 않고요. 이에 비해 여수언니는 빠른 기간 안에 전체 피해자들을 대상으로 보상안을 안내했으니, 긍정적 평가를 받은 거예요😊.
개인정보 침해 사고, 그 이후가 더 중요해요
이제는 이용자들도 잘 알고 있어요. 기업이 아무리 잘 대비해도 유출 사고는 언제든지 일어날 수 있다는 것을요. 결국 피해자들이 기업에게 기대하는 건 정확하고 빠른 상황 설명과 문제 상황에 대해 끝까지 책임지는 모습이예요.
|
|
|
개인정보를 흥신소에 판매한 공무원, 징역 5년
송파구에서 이석준이 전 여자친구의 가족을 살해한 사건, 기억하시나요? 이석준은 흥신소를 통해 전 여자친구의 거주지 정보를 파악했다고 하죠. 이 흥신소에 단돈 2만 원을 받고 피해자의 거주지 정보를 제공한 공무원 박 씨에게 대법원이 징역 5년과 벌금 8천만 원을 확정 선고하였습니다.
🧑⚖️ “공무원이 일반 국민의 개인정보를 누설해 살인사건까지 발생하는 중한 결과를 발생시켰다. 공무원 직무 집행의 공정성과 청렴성, 사회 일반의 신뢰가 중대하게 훼손돼 중한 형의 선고가 불가피하다.” |
|
|
인사·노무 담당자님, 새로 나온 업무 가이드라인 확인하세요!
1월 30일, 개인정보보호위원회가 새롭게 인사·노무 분야 개인정보 보호 가이드라인을 발표했어요. 가이드라인에선 인사·노무 업무 시 준수해야 할 법령과 신기술 환경에 부합하는 개인정보 처리 기준, 침해 사고 예방 및 정보주체의 권리 보장 방법을 안내하고 있어요.
적용 대상: 입사 지원자 및 근로자 등의 개인정보를 처리하는 사용자
적용 범위: 인사·노무 업무 전 과정 (채용 준비 ~ 고용 종료) |
|
|
몇 가지 주요 내용을 살펴보면,
- 채용 각 단계별로 꼭 필요한 최소한의 개인정보만 수집해야 해요. (ex. 신체검사 전에는 불필요한 건강정보 수집 제한)
- 주민등록번호와 민감정보는 법령 근거/별도 동의가 있는 경우에만 처리가 가능해요. 이때, 근로계약 체결 시 혹은 법령 준수를 위한 개인정보 처리(임금대장에 가족수당 계산 등) 시에는 근로자의 동의를 받지 않아도 돼요.
- 수집한 개인정보는 안전한 관리를 위해 관리적·기술적·물리적 보호 조치를 해야 해요. (ex. 백신 소프트웨어 설치, 방화벽 기능 적용)
- 특히 요즘 많이 활용되는 ‘지문’이나 ‘얼굴인식’ 등을 위한 디지털 장치를 도입하는 경우에는 근로자의 동의를 받거나 다른 출입 방법을 제공하는 등의 추가 조치를 취해야 해요.
- 근로자의 개인정보 정보 주체로서의 권리 보호를 위한 절차들을 안내해야 해요.
- 보유 목적이 사라진 개인정보를 파기하는 등의 조치도 필요해요. (ex. 퇴직자의 개인정보 파기)
|
|
|
다크 패턴 사용 금지입니다. - 틱톡 프랑스에서 벌금 🇫🇷
‘다크 패턴’이란, 회원 가입 시 ‘모든 항목에 동의합니다.’를 default로 설정하거나(마케팅 수신 동의까지 하도록), 앱에서는 구독 해지가 불가하도록 설정하는(구독 해지율을 낮추기 위해) 등의 의도적인 눈속임 설계를 말합니다. 틱톡은 모든 쿠키 수락은 클릭 한 번으로 가능한 반면, 모든 쿠키를 거부하려면 몇 번의 클릭을 해야만 했던 거예요.
이처럼 해외에서는 다크 패턴에 대한 규제가 법제화되어있고, 다크 패턴에 대한 설계 단속을 강화하는 추세입니다. 반면, 우리나라에서 다크 패턴에 대한 규제 법률은 아직 마련되지 않았어요. 하지만 공정거래위원회에서 다크 패턴 규율을 검토 중이고, 개인정보보호위원회는 올해 온라인 플랫폼을 대상으로 다크 패턴을 활용한 권리 침해 여부를 조사하겠다 밝힌만큼 규제가 강화되고 있어요. 다크 패턴, 이제는 바꾸셔야 할 때입니다. |
|
|
5년 동안 해킹만 8번째… 🇺🇸
미국 대형 통신사 T-모바일에서 또다시 개인정보 유출이 발생했어요. T-모바일이 보유한 약 1억 1천만 명 개인정보 중 3700만 개가 유출되었어요. 다행히 민감정보는 유출되지 않았다고 하지만 5년 동안 8번의 해킹 사고라니, 보안 강화가 필요해 보입니다.
한편 구글의 알뜰폰 서비스 구글 파이(Google Fi)에서 일부 고객 정보가 유출되는 사고도 있었는데요. 이 사고의 원인으로 T-모바일의 데이터 유출 사고가 지목되고 있습니다. 구글 파이가 T-모바일의 이동 통신망을 사용하기 때문이에요. 정확한 사실 여부는 구글 파이 측의 조사 결과를 기다려봐야겠어요. |
|
|
당신의 클라우드 DB, 접근 제한은 잘 되어 있나요? 🇮🇳
인도기업에 채용 솔루션을 제공하는 HR 관리 플랫폼 MyRocket에서 클라우드 데이터베이스 설정 오류로 인해 약 20만 명의 직원과 900만 명의 구직자의 개인정보가 유출됐다는 소식입니다. Kibana 인스턴스의 잘못된 구성으로 DB가 아무런 보호 장치 없이 그대로 오픈되어 있었던 거예요. 인사 관리 서비스를 제공하는 만큼 해당 DB에는 급여 명세서, 세금 신고서, 신분증과 같은 민감한 문서 사본이 포함되어 있어 피해가 클 것으로 보여요. |
|
|
|
