일상 속 개인정보 보호, 놓치지 마세요

프라이버시 이슈를 보다, 프리-뷰

2023. 6. 22.

2023/06/22 THU

웹에서 보기 | 구독하기

안녕하세요. 오늘의 프리-뷰는 '일상에서 경험할 법한 개인정보 이슈들과 이번 달 개인정보위 행정처분 내용, 스포티파이의 GDPR 위반 소식까지 싹 정리해서 가져왔어요😊

샤넬 “개인정보 안 주면 구경도 안 돼” 논란

명품 브랜드 샤넬에서 매장 방문객에게 과도한 개인정보를 요구했다는 사실이 밝혀져 논란이에요.

대부분 명품 브랜드관은 이용객이 많을 경우 입장을 제한하고 대기 시스템을 운영하고 있죠. 보통은 대기를 신청할 때, 알림을 목적으로 휴대전화번호를 수집하는데요. 샤넬의 경우 휴대전화번호뿐만 아니라 이름, 생년월일을 동행자까지도 모두 입력해야만 입장이 가능했어요. 한 명이라도 입력을 거부하면 입장 자체가 불가했고요. 샤넬 측은 대리구매를 방지하기 위해 어쩔 수 없다는 입장이에요.

정말 합법적인 운영일까?

개인정보 보호법 제16조에 따르면, 개인정보처리자는 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 합니다. 수집하는 정도가 최소한의 개인정보라는 입증에 대한 책임은 개인정보처리자에게 있고요. 그렇다면 개인정보처리자인 샤넬이 매장 방문객뿐만 아니라 동행자까지 모두 이름, 휴대전화번호, 생년월일까지 입력하게 하는 것은 최소한의 개인정보를 수집하는 걸까요? 일반적으로 이름과 휴대전화번호만으로 구매자 확인을 하는 것을 미루어 볼 때 생년월일까지 수집하는 건 과도한 개인정보 수집의 소지가 될 수 있어요. 그뿐만 아니라 단순히 상품을 구경만 하고 구매하지 않고 매장을 나오는 이용자도 있기 때문에 대리구매를 막기 위해서라면 물건을 구매하는 구매 시점에 본인 확인을 하는 것으로도 충분해 보여요.

최소한의 개인정보를 수집했다 하더라도, 샤넬이 이를 얼마나 보관하고 있는지도 중요한데요. 보관 기간에 대한 말이 서로 달라요🤔

🤵매장 직원: 수집한 이용자 개인정보는 날마다 초기화합니다. 따로 보유하지 않습니다.
👜샤넬 본사: 수집한 이용자 개인정보는 1년간 보유합니다

출처 : 샤넬 개인정보 처리방침

무엇이 진짜일까요? 샤넬의 개인정보 처리방침을 확인해 봤어요. 개인정보 보유 기간을 명시한 부분에 ‘날마다 초기화한다거나, 1년간 보유한다’는 내용은 모두 없네요. 결국 매장 방문객은 내 개인정보가 언제까지 샤넬에 보관되는지 알 수 없는 거예요.

일부 매장의 운영 실수였을까요. 아니면 샤넬 본사의 발표가 잘못된 걸까요. 정확한 사실은 공식적인 조사가 나와야만 알 수 있겠지만, 개인정보처리자는 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를, 최소 기간 동안 보유해야 한다는 점은 분명합니다.

여기 이 사람, 돈 안내고 갔어요 😮‍💨

최근 매장 CCTV 영상 공개에 대해 온라인상에서 논란이 되고 있어요. 한 식당 주인 A씨가 온라인에서 무전취식한 사람을 찾는다며 CCTV 영상이 담긴 게시글을 올렸는데, 알고 보니 직원의 실수로 다른 테이블의 금액을 결제한 사실이 드러났고, 황급히 글을 삭제했던 일이 있었거든요. 짧은 시간이었지만 이미 영상 속 인물은 ‘무전취식 범죄자’로 낙인찍혀 온라인에 퍼진 후였죠. 이처럼 CCTV 영상을 무분별하게 공개해도 되는지에 대한 의견이 분분해요.

손님: 단순 결제 오류거나 실수일 수도 있잖아. 만약 잘못된 사실이 인터넷에 올라오면 사실이 되고 마는데, 이를 바로잡기는 너무 어려워.
주인: 실수인지 고의인지 알 수 없잖아. 사람 찾기도 쉽지 않고, 오죽 답답하면 그랬을까.

식당에서 밥을 먹은 손님이 실수든 고의든 결제하지 않고 갔다면 그 피해는 오롯이 식당 주인이 떠안을 수밖에 없죠. 고객의 연락처를 알지도 못해 식당 주인으로서는 참 난처한 상황이 아닐 수 없습니다. 하지만, 그렇다고 하더라도 온라인상에 고객의 사진이나 영상을 올렸다가는 법적 분쟁으로 이어질 수도 있으니 주의해야 해요. 인물을 특정/식별할 수 있는 자료를 당사자의 동의 없이 모두가 볼 수 있는 온라인상에 공개한다면 개인정보 보호법 위반이 될 수 있습니다. 자신의 가게에서 촬영된 영상이라도 온라인에 올린다는 것은 다른 사람도 볼 수 있도록 “제공”하는 상황에 해당해, 개인정보 유출 및 사생활 침해가 인정될 수 있기 때문이에요. 이 밖에도 CCTV를 운영하기 위해서는 고려해야 할 사항들이 많은데요. 관련 내용은 개인정보보호위원회에서 만든 영상정보처리기기 설치운영 가이드라인에서 확인할 수 있어요.

무전취식 사고는 작년에만 10만 건에 육박할 정도로 빈번히 일어나고 있는데요, 하지만 손님 측의 단순 착각인 경우가 대부분이라고 해요. 답답한 마음에 온라인에 도움을 요청했다가 자칫 더 큰 피해로 돌아올 수 있어요. CCTV를 운영할 때는 아무리 본인의 가게에서 촬영되었다 하더라도 마음대로 공유해서는 안 된다는 점, 꼭 명심해 주세요!

지난 주 발표된 6개 사업자에 대한 개인정보보호위원회 행정처분 소식 전해드려요. (단위: 만 원)

[외부 요인(해킹) - 안전조치의무 위반]

리본즈(과징금 1억 7,201, 과태료 420) - AWS 내 개발 서버 접근권한을 IP 주소 등으로 제한하지 않았어요. 그 결과, 개인정보 118만 건이 유출되었어요.
빌박닷컴(과태료 660) - 관리자 페이지 접근 제한을 소홀히 하여 해킹으로 인해 개인정보가 유출되었어요. 유출에 대한 공지도 없었고요.

[내부 요인]

드림어스컴퍼니(과징금 3억 7,895, 과태료 600) - 음악 스트리밍 서비스 FLO(플로)를 운영하는 과정에서, 설정 오류로 인해 신규 가입자의 정보가 테스트 DB에 저장되어 로그인 시 다른 이용자로 로그인이 되는 상황이 발생했어요.
고시아카데미(과징금 4,720 과태료 1,080) - 관리자 페이지에서 인증 절차를 두지 않아 구글 검색엔진에서 회원의 정보가 검색되고 누구나 접근이 가능했어요.
무신사(과태료 1,080) - 비회원에게 ‘지난 배송지 목록’이 보여지도록 설정하여 비회원에게 다른 회원의 배송지 정보가 노출되었어요.

위 3개 사업자는 모두 유출 사실에 대한 신고·통지 기한도 위반하였어요.

[업무위탁에 따른 개인정보 처리 제한]

리니칼코리아(과태료 200) - 개인정보 처리 위·수탁 계약서를 작성하지 않고, 이용자에게 위탁 사항에 대해 공개하지 않았어요.

‘크리덴셜 스터핑’ 유출에 대한 과징금 발표

올해 초 피해가 잦았던 ‘크리덴셜 스터핑’ 공격, 기억하시나요? 같은 아이디와 비밀번호를 여러 곳에서 돌려쓰는 점을 이용한 무차별 대입 공격 방법인데요. 이 ‘크리덴셜 스터핑’으로 인해 개인정보가 유출된 업체들에 대한 개인정보보호위원회의 행정처분이 발표되었어요. 제재가 내려진 곳은 인터파크와 팍스넷으로, 인터파크는 올해 1월, 팍스넷은 2020년 3월 크리덴셜 스터핑 공격으로 고객정보가 유출된 곳이에요.

자세히 알아보자면

인터파크 - 동일한 IP주소에서 대규모로 로그인을 시도하는 해커의 크리덴셜 스터핑 공격을 차단하지 못했어요. 이 결과, 이용자 78만 명의 개인정보가 유출되었어요. 해커는 인터파크 앱에서 하루에 2백만 건 이상의 로그인을 시도했다고 해요. 안전조치를 소홀히 한 인터파크는 10억 2,645만 원의 과징금과 과태료 360만 원을 부과받았습니다.
팍스넷 - 증권정보를 제공하는 팍스넷 또한 크리덴셜 스터핑 공격으로 인해 이용자 28만 명의 개인정보가 유출되었어요. 유출에 대한 신고와 이용자들에 대한 통지가 늦어진 사실도 함께 확인되었고요. 안전조치를 소홀히 한 팍스넷은 3,484만 원의 과징금과 1,100만 원의 과태료를 부과받았습니다.

외에도 올해 크리덴셜 스터핑으로 인한 피해 규모가 가장 컸던 G마켓에 대해서는 행정처분이 공개되지 않았어요. 올해 들어 크리덴셜 스터핑과 같은 불법적인 접근으로 인한 개인정보 유출 사고가 잦은데요. 안전조치 사항을 자주 점검하고 해킹 사고에 대한 모의 훈련을 진행하는 등 평상시의 노력이 가장 중요한 예방책이 되겠습니다.

스포티파이, 개인정보보호 위반으로 68억 원 벌금

음악 스트리밍 서비스를 제공하는 스포티파이(Spotify)에 스웨덴 DPA(개인정보 감독기구)로부터 540달러(약 68억 원)의 벌금이 내려졌어요. 수집한 이용자들의 개인정보를 어떻게 처리하는지 공개하지 않은 데다가 개인정보 제공을 요청한 이용자의 요구에 응하지 않았기 때문이에요. 스포티파이는 곧바로 항소하겠다는 입장을 발표했어요. 이번 벌금은 4년 전 상황을 기준으로 매겨진 건데, 스포티파이는 이미 해당 문제를 해결했거든요. 스웨덴 DPA도 이번 사건에 대해 심각도가 ‘낮다’고 언급한 만큼, 항소 이후 결과를 지켜봐야겠어요.

토요타, 26만 명 개인정보 유출

일본 자동차업체 토요타에서 고객 26만 명의 개인정보가 유출되었다는 소식이에요. 유출된 정보에는 일본뿐만 아니라 호주, 일부 아시아 고객정보도 포함되어 있다고 하니, 한국 고객의 정보가 유출됐을 가능성도 무시할 수 없어요. 유출된 정보에는 차량 ID, 맵 정보, 이름, 휴대전화 번호, 이메일 주소, 차량 등록번호, 고객 ID가 포함되어 있어요.

개인정보 유출 원인은 클라우드 환경에 대한 관리 오류로, 데이터가 공개되고 있던 상태를 토요타 자체적으로 발견하여 오류를 수정한 것으로 보여요. 토요타 고객의 개인정보는 토요타 T-커넥트(TC)가 관리하고 있는데, 잘못된 관리로 인해 2015년부터 2023년 5월까지 외부에서 접근할 수 있는 상태였던 거죠. T-커넥트는 토요타의 공식 연결 앱으로, 앱을 통해 차량 상태와 정보를 확인할 수 있는데요. 이 T-커넥트에 대한 소스 코드 중 일부가 깃허브에 올라가 있었는데, 여기에 데이터 서버에 대한 액세스 키가 포함되어 있었어요. 이러한 오류로 인해 데이터 전체가 공개될 수 있기 때문에, 개인정보가 저장된 시스템에 대한 환경 설정과 관리 상황을 지속적으로 확인하는 것이 매우 중요해요.