지난 6월 28일, 개인정보보호위원회가 삼성전자와 LG헬로비전에 각각 8억 7,555만 원, 11억 3,179만 원의 과징금을 부과했습니다. 두 사업자 모두 이용자들의 개인정보가 유출되었는데, 지금까지 제재받은 다른 기업들에 비해 유출 규모가 작지만 위반 행위 관련 매출액 규모가 커 높은 과징금 액수가 부과되었어요.

이번 제재에서는 특히 ‘크리덴셜 스터핑’에 대한 개인정보위의 입장을 확인할 수 있었는데요. 동일한 IP주소에서 짧은 시간 내에 대규모 로그인 시도가 발생했을 경우를 크리덴셜 스터핑 공격으로 인정한다는 걸 명확히 했어요. 2020년 신고된 연예인 갤럭시폰 해킹 사건에 대해서는 개인정보 보호법 위반으로 보기 어려워 행정 처분을 내리지 않은 건데요. 이 사건에선 해커가 소수 이용자의 ID와 패스워드를 직접 탈취해서 데이터를 복제했기 때문에, 사업자 입장에서는 정상적인 로그인 시도로밖에 볼 수 없었음을 인정했어요. 로그인 횟수가 많지 않고 한두 건 정상적인 로그인을 했다고 하면 이것이 계정이 도용된 것이라 하더라도 기업 입장에서는 판단하기 어려울 수 있다는 점을 고려한 거죠.

[삼성전자]

• 삼성계정 DB 변경 과정에서의 오류로 이용자 26명의 개인정보가 타인에게 노출

  👉 DB 변경 과정(오라클 → 포스트그레 SQL)에서 두 DB 간 공백문자 처리 방식이 다르다 보니, 데이터를 통째로 옮기는 과정에서 정보 입력이 잘못되어 노출이 발생했어요.

• 사이버 공격으로 인해 삼성클라우드 76개 계정의 이미지·동영상 유출

• 시스템 개발 오류로 일부 사용자가 동일 이용자로 처리되어, 배송조회 과정에서 19명의 개인정보가 타인에게 노출

[LG헬로비전]

• 웹 취약점(XSS)에 대한 조치 미흡으로 46,134명의 개인정보 유출

  👉 홈페이지에서 여러 이벤트를 진행하며 트래픽이 몰리다 보니 과부하가 자주 발생하자, 외부 불법 침입을 탐지·차단하는 보안 정책을 2021년 7월부터 2022년 6월까지 적용하지 않았어요.

  👉 취약점을 발견한 해커가 1:1 게시판에 악성 스크립트를 삽입하였고, 이 게시판을 클릭한 상담사의 로그인 계정이 탈취되어 개인정보가 유출되었어요.

• 상시 보안 업데이트 미적용으로 발생한 세션 오류로 인해 이용자의 개인정보 유출

• 유출 신고 및 통지 지연

각자의 입장을 살펴보면

<삼쩜삼 운영사-자비스앤빌런즈> 3️⃣.3️⃣

• 세금 부담액 및 환급액을 계산해야 하는 세무 대리 서비스의 특성상 세무대리인이 이 과정에서 개입하게 되는 건 정상적인 절차야.
• 우리는 분명 약관에 공지했어. 절차적으로 문제없다고.

<이용자> 😠

• 삼쩜삼을 이용하면서 세무대리인이 수임될 것이란 사실을 전혀 알지 못했어.
• 내가 동의하지도 않았는데 내 납세 정보를 열람하는 건 말도 안 돼.
• 세무대리인 등록이 필요하다고 하더라도, 환급 절차가 끝나면 자동으로 해지해줘야 하는 거 아냐? 계속 대리인 행세를 하며 언제든 내 개인정보 빼가도 나는 모르잖아;

일단, 개인정보 보호법은 위반임

논란이 일자, 한국소비자연맹이 개인정보보호위원회와 공정거래위원회에 삼쩜삼을 신고했어요. 이에 1년 넘게 지속된 개인정보보호위원회의 조사 결과가 지난 6월 28일, 드디어 발표되었습니다.

결론은, 삼쩜삼 운영사 자비스앤빌런즈는 개인정보 보호법 위반으로 과징금 8억 5,410만 원과 과태료 1,200만 원을 내야 합니다.

삼쩜삼이 위반한 내용을 살펴보면,

혁신과 위법 사이

삼쩜삼은 아르바이트, 프리랜서, 긱워커 등 소액의 신고액으로 인해 세무 사각지대에 놓여있던 사람들에게 세금 신고의 접근 장벽을 낮추었다는 평가를 받고 있습니다. 2020년 5월 출시 이후 2년 만에 1,000만여 명의 고객을 확보하고, 2023년 4월 기준으로 누적 가입자 1,546만 명, 누적 환급액 6,132억 원을 기록했어요. (출처: 삼쩜삼 블로그) 얼마 전에는 중소기업벤처부로부터 예비유니콘 기업(기업가치 1,000억 이상 1조 미만)에 선정되기도 했고요. 삼쩜삼 서비스의 확산으로 총 5,760억 원의 사회적 경제효과가 발생했다는 연구 결과도 있어요.

하지만, 법을 위반하고 이용자들의 개인정보를 안전하게 보호하지 않는 서비스가 계속해서 성장할 수 있을까요? 아무리 편리한 기능을 제공하더라도, 자신의 개인정보를 보호하지 않는다고 판단하면 이용자는 언제든 서비스를 떠나버리기 마련이죠. 서비스 설계 단계에서부터 개인정보보호를 고려하여 기획해 사용자가 안전하게 이용할 수 있는 환경을 만드는 것이 가장 중요합니다. 삼쩜삼의 경우 문제가 되었던 세무대리인 수임과 주민등록번호 수집에 관한 부분은 개인정보위 조사 과정 중 절차를 개선했다고 해요.

개인정보 논란은 삼쩜삼의 잘못으로 종결되었지만, 삼쩜삼의 위법성 논란은 아직 끝나지 않았습니다. 삼쩜삼의 ‘불법세무대리 행위’ 진위에 대해 아직 검찰 조사가 진행 중이거든요. 경찰 조사는 ‘삼쩜삼은 세무사법 위반이 아니다.’ 로 종결되었지만, 세무사회에서 이의 제기를 했어요. 개인정보위가 국세청에 주민등록번호를 단순 전달하고 즉시 파기하는 것은 위법이 아니라고 판단, 즉 세무대행을 위한 주민등록번호 처리 자체가 위법은 아니라고 판단한 만큼, 삼쩜삼은 서비스를 유지할 수 있게 되었는데요. 검찰 조사는 또 어떤 결과가 나올지, 발표를 기다려 봐야겠어요.

애드테크 기업 Criteo가 프랑스 개인정보감독기구(CNIL)로부터 GDPR 위반으로 4천만 유로(약 566억 원)의 벌금을 받았다는 소식입니다.

한창 인터넷 쇼핑을 하다가 다른 사이트에 접속했는데, 그곳에서 내가 방금까지 보던 상품이 광고로 뜨는 경험, 모두 있으시죠? 이게 가능한 이유는 사이트에 설치되어 있던 ‘서드파티 추적 쿠키’를 통해 맞춤형 ‘타겟 광고’가 제공되기 때문이에요. 이러한 마케팅 방법이 Criteo의 주 비즈니스 모델이기도 하고요.

우리나라와는 달리 유럽에서는 사용자의 동의를 받은 다음에야 쿠키 수집이 가능하기 때문에, 대부분의 사이트들이 최초 접속 시 쿠키 수집 여부 팝업을 띄우며 동의 여부를 선택하지 않으면 다음 화면으로의 진행이 안 되게 막고 있죠. 하지만, Criteo는 ‘추적 쿠키’에 대해 사용자의 동의를 받지 않고 쿠키를 수집했으며, 동의를 철회한 사용자의 데이터도 삭제하지 않았어요. 이 외에도 정보 투명성 의무 위반 등 위반 사유가 발견되어 총 4천만 유로의 벌금이 내려졌어요.

사실 Criteo가 받게 될 벌금은 6천만 유로였지만, 다른 기업에 부과한 벌금에 비해 과도하다는 Criteo의 주장을 받아들여 4천만 유로로 벌금이 줄었어요. 여전히 Criteo 측은 벌금에 대해 부당하다며 항소하겠다는 입장을 보이고 있습니다.