프라이버시 이슈를 보다, 프리-뷰 안녕하세요. 오늘의 프리-뷰는 9월부터 적용되는 개인정보 보호법 2차 개정안 소식과 지난 달 발생한 국내외 이슈에 대해 알려드릴게요😊 |
|
|
9월부터는 새로운 개인정보 보호법이 적용됩니다.
개인정보 보호법 2차 개정안이라고도 하지요. 개인정보 보호법 일부개정 법률안이 2월 27일 국회 본회의를 통과했습니다. 입법례에 따라, 개정안은 올해 9월부터 시행될 예정이에요. 개정안이 2021년 9월에 국회에 제출된 것을 생각하면, 2년 만에 시행이 되는 셈이지요.(정확한 날짜는 대통령이 개정안을 공포하는 날에 따라 결정됩니다.)
이번 개정의 목적은 국민의 개인정보 주권을 강화하고 기업에는 이중규제 등 불필요한 혼란과 부담을 줄이면서 개인정보 보호의 투명성을 높이는 것이에요.
|
|
|
이제는 안심하고 배달 주문하세요!
음식점, 주문중개 플랫폼, 배달업체, 배달원, 주문관리 시스템사 등 여러 관계자가 이용자의 개인정보를 처리하다 보니 관리가 제대로 이루어지지 않고 있던 상황에 대해 취약점을 개선하기로 합의한 거예요.
주요 내용을 살펴보면
- 계정 도용 방지 - 음식점 등에 추가적인 인증수단을 적용, 계정별 권한 차등 부여
- 접근 통제 강화 - 일정 시간 동안 활동이 없으면 자동으로 접속 차단
- 책임 추적성 강화 - 주문중개 플랫폼, 주문관리 시스템, 배달대행 플랫폼 간 API 연동
- 피해 예방 - 배달이 완료된 이용자의 개인정보는 곧바로 마스킹 처리
- 인식 개선 - 플랫폼에서 음식점·배달원에 대한 개인정보 보호 교육 지원
- 개인정보 파기 - 시스템 상에서 개인정보 삭제 기능 제공
이외에도, 자율규약을 성실히 이행한 사업자에게는 인증 마크를 부여하고, 과징금과 과태료도 최대 40%까지 감해준다고 해요. 이번 자율규제 규약은 주문배달 플랫폼 13개사와 한국인터넷기업협회, 배달서비스공제조합이 개인정보보호위원회와 함께 자율적으로 마련한 만큼 업계 전반에 잘 자리 잡길 기대해 봅니다😊. |
|
|
천재교과서, 과징금 취소 소송에서 패소
천재교과서의 주장 :
- 개인정보처리시스템에 대한 접근통제를 잘 이행하고 있었어.
- 우린 정보보호 관리체계(ISMS) 인증을 받았다고. 개인정보 안정성 확보를 위해 노력하고 있었어.
개인정보 유출이 어떻게 발생했는지가 중요해요 🌟
천재교과서는 초등온라인학습 ‘밀크T’를 운영하면서 모회사인 천재교육의 학습백과사전을 검색할 수 있는 기능을 제공하고 있었어요. 문제는 이때 밀크T DB 서버의 접근 권한을 일부 개인정보취급자 아이피 주소에 대해서만 차단하고 나머지 아이피 주소 대역은 모두 허용하고 있었던 점이에요. 또한, 웹 방화벽의 업로드 제한 정책에 확장자를 적용하지 않고 운영하였고, 웹서버에 웹쉘* 탐지 솔루션을 설치했지만 서버에 부하가 발생한다는 이유로 상시 운영하지 않았어요. 해커는 이 점을 이용해 천재교육 학습백과사전의 웹 서버에 올린 웹쉘과 터널링** 프로그램을 통해 개인정보를 빼돌린 거죠.
*웹셀(Webshell): 업로드 취약점을 파고들어 관리자 권한을 획득함으로써 원격으로 웹서버를 조종하는 악성코드
**터널링(Tunneling): 한 네트워크에서 다른 네크워크의 접속을 거쳐 데이터를 보낼 수 있는 기술
법원의 판결은
🧑⚖️ “천재교과서가 개인정보처리시스템에 마땅히 조치하여야 할 법적 의무를 충분히 이행하지 않았고 유출된 개인정보 양이 적지 않다는 점 등을 봤을 때 과징금 부과 처분과 부과액은 타당하다.”
실제로 천재교과서는 2019년에 ISMS 인증을 획득했어요. 하지만 그럼에도 불구하고 개인정보 유출 사고는 발생하고 말았죠. 이번 사건으로 우리가 기억해야 할 점은 인증을 받았다고 끝이 아니라는 것이에요. 인증은 단순 인증일 뿐, 인증을 받았다고 방심하는 순간 해커는 언제 그 빈틈을 파고들지 몰라요. 실제로 인증체계의 실효성에 대한 논란도 있고요. 그렇다 할지라도, 인증을 받았다는 사실이 사고의 면책 근거가 될 수는 없어요. 아무런 사고도 발생하지 않게 한다는 점이 보안 측면에서 너무나 높은 기준이라 할지라도, 결국은 평소 기본적인 관리가 가장 중요하다는 점, 꼭 기억해 주세요.
|
|
|
서울대 컴퓨터공학부를 가고 싶은 삼수생의 계략? 🧑🏻💻
한 커뮤니티에 ‘지난해 11월 전국연합학력평가 성적을 확인했다’는 글이 올라왔어요. 학력평가를 응시한 고등학교 2학년 학생들 27만 명의 성적 정보가 담긴 파일도 함께요. 파일에는 학생들의 이름, 성별, 학교, 성적이 담겨있었죠. 파일 속 내용은 원본 성적 정보와 일치했습니다. 학생들의 개인정보가 유출된 거예요.
누가 이런 짓을?
같은 날 텔레그램의 한 단체방에서는 누군가가 이 파일을 유포했어요. 같은 사람일까요? 며칠 뒤, 텔레그램에 또다시 누군가가 관련 파일을 공유했어요. 공개된 파일은 성적순 학교별 순위 자료로, 유출된 학생들의 정보를 토대로 만들어진 것으로 보여요. 이 사람은 자신이 서울대학교 컴퓨터공학부를 가고 싶은 삼수생이라는 정보도 함께 밝혔어요.
|
|
|
텔레그램에서 신원을 밝힌 자가 해킹범과 동일인인지는 아직 확인되지 않았어요. 하지만, 학생들의 개인정보가 담긴 파일을 공유·전달·재가공·게시하는 행위는 범죄행위임이 분명합니다. 지역별, 학교별 서열화와 같은 2차 피해 우려도 있고요. 피해 학생들의 집단 소송 준비 소식도 들려오고 있네요. 유출된 자료가 계속해서 유포되고 있는 만큼, 빠르게 범인을 색출하는 것이 무엇보다 중요해 보여요.
|
|
|
올리브영, 로그인했더니 다른 사람의 정보가 👥
올리브영 온라인몰에서 로그인 시 내가 아닌 타인의 개인정보가 보이는 사고가 발생했어요. 16일 올라온 올리브영의 공지에 따르면 노출된 사람은 1만 명 정도로, 결제 정보와 같은 민감한 정보는 노출되지 않았다고 해요. 노출의 원인은 CDN의 오류로 인한 것으로 보여요. 올리브영 측에 의하면, 사용자가 특정 콘텐츠를 요청했을 때 오류로 인해 CDN(콘텐츠 배포 네트워크)에서 엉뚱한 결과가 출력되었다고 해요. 자세한 사고 경위는 아직 조사 중이에요. |
|
|
이용자 정보를 광고 회사와 공유한 ‘GoodRx’ 벌금 💊
광고 회사들에게 이용자들의 개인정보를 제공한 GoodRx가 150만 달러의 벌금을 지불할 예정이에요. GoodRx는 약품의 가격을 약국별로 비교해 주고 약품 할인 쿠폰을 제공하는 플랫폼을 운영하는 미국 의료 회사예요.
GoodRx는 그동안 이용자들에게 광고주 및 제3자와 개인정보를 공유하지 않겠다고 밝혀왔지만, 사실은 Facebook, Google과 같은 광고 회사들에게 민감한 개인정보를 넘기고 있었던 거예요. 광고 회사들은 제공받은 개인정보를 활용하여 맞춤형 광고에 사용했고요. HIV, 불임, 발기 부전, 항우울제 등 특정 조건에 해당하는 광고를 페이스북이나 인스타그램에서 볼 수 있었던 거죠.
이에 대해 미국 연방 거래위원회(FTC)가 소송을 제기하자, GoodRx는 광고 목적의 데이터 공유를 중지하고 150만 달러의 민사 벌금을 지불하기로 합의하며 소송을 해결했어요. 이번 소송은 FTC가 건강 위반 통지 규칙에 따라 처음으로 제재를 가한 사건이에요.
디지털 헬스케어 산업이 활성화되는 만큼 우리나라에서도 개인 건강 정보를 민간 사업자들이 활용하려는 요구가 늘고 있는데요. 건강 정보는 개인 건강 상태를 파악할 수 있는 민감정보로, 유출 시 사생활 침해는 물론 환자 안전에도 위협이 될 수 있기에 주의가 필요해요. |
|
|
|
