뉴스8
삼성전자, 개인정보 유출로 과징금 9억…개인정보위 4개사 제재 삼성전자, 개인정보 유출로 과징금 9억…개인정보위 4개사 제재 등록일2023.06.28 삼성전자와 등 4개 사업자가 개인정보호법을 위반해 과징금을 비롯한 행정처분을 받습니다. 개인정보보호위원회가 오늘(28일) 제11회 전체회의를 열고, 개인정보보호 법규를 위반하여 이용자의 개인정보가 유출된 삼성전자와 LG헬로비전 등 4개 사업자에 대해 총 28억7천201만원의 과징금과 5천480만원의 과태료를 부과하기로 결정했습니다. 삼성전자는 삼성계정 시스템의 데이터베이스(DB) 제품을 변경해 제품별 데이터 처리방식 차이를 고려하지 않아 시스템 오류가 발생해 286명의 개인정보가 유출됐습니다. 삼성클라우드 서비스에서는 사이버 공격에 따른 76개 계정에서 이미지와 동영상이 유출됐습니다. 삼성전자 온라인스토어 시스템에서는 개발오류로 이용자가 타인의 배송정보를 조회할 수 있게끔 해 81명의 개인정보가 유출됐습니다. 개인정보위는 연속적으로 유출이 일어난 삼성전자가 개인정보보호법상 안전조치의무 이행 미흡으로 과징금 8억7천558만원과 과태료 1천400만원을 부과하고 전반적 보호체계 점검·개선 등 전사적 차원의 재발 방지대책 수립 등의 시정조치를 내렸습니다. LG헬로비전, 해커 대응 무방비에 과징금 11억원 LG유플러스의 자회사 LG헬로비전 역시 알뜰폰(이동통신) 홈페이지 헬로모바일과 헬로다이렉트몰에서 1:1 상담문의 게시판을 침투한 해커의 공격으로 4만6천134명의 개인정보가 유출됐습니다. 개인정보위에 따르면 개인정보처리시스템에 대한 침입차단·탐지시스템 운영을 소홀히 해 웹 취약점에 대해 조치하지 않고 소프트웨어 개발 회사가 공개한 세션 보안 취약점에 대한 최신화 조치 (업데이트)를 하지 않았습니다. 이어 개인정보 유출신고와 유출통지를 지연한 사실도 확인했습니다. 이에 따라 개인정보보호 법규를 위반한 주식회사 LG헬로비전에 11억3천179만원의 과징금과 1천740만원의 과태료를 부과하기로 결정했습니다. &'삼쩜삼&' 주민등록번호 수집·보관해 위반 삼쩜삼 역시 &'주민등록번호 단순전달 후 파기·보유 금지&' 등의 시정명령과 함께 과징금 8억5천410만원과 과태료 1천200만원을 매겼습니다. 삼쩜삼은 국세청 홈택스(Hometax)에서 이용자의 소득정보 등을 수집해 이용자의 종합소득세 신고·환급을 지원하는 서비스입니다. 개인정보위는 삼쩜삼이 개인정보보호법을 위반해 주민등록번호를 수집·보관했으며 이용약관의 별도 동의를 받지 않고 수집 목적·보유기간 등을 불분명하게 고지한 사실 등을 비춰 처분을 내렸습니다. 개인정보위는 &'주민등록번호 단순 전달 후 파기, 파일 등으로 저장·보유 금지&' 내용의 시정조치를 명령하고 향후 이행 여부를 확인할 예정입니다. 한편, 타오월드는 침입차단시스템의 도입·운영과 취약점 점검 등을 소홀히 해, 해커에게 1만3천470명의 이용자 정보를 탈취당했습니다. 이어 민감 정보에 해당하는 &'건강 관련 정보&'를 구체적 안내나 별도 동의 없이 수집·보관한 사실 등이 드러나 과징금 1천54만원과 과태료 1천140만원을 부과받습니다.
판도라 해킹…개인정보 745만건 훔쳐보고 11만건 빼내 등록일2014.10.15 동영상 공유 사이트 판도라TV가 해킹을 당해 회원들의 개인정보가 유출됐다고 밝혔다. 판도라TV는 15일 홈페이지에 게시한 사과문을 통해 &'9월9일과 9월17일 양일간 특정 서버의 외부 해킹 흔적을 발견해 피해 예방과 조속한 대처를 위해 방송통신위원회와 관계기관에 신고·조사를 의뢰했다&'고 밝히고 공식 사과했다. 이번 해킹으로 유출된 개인정보는 ▲ 아이디 ▲ 이름 ▲ (암호화한) 비밀번호 ▲ 생년월일 ▲ 주소 ▲ 이메일 ▲ 휴대전화 번호 7개 항목의 일부 또는 전체다. 판도라TV는 주민등록번호는 가입 시 수집하지 않고 있으며, 비밀번호도 암호화한 상태라 직접적인 피해는 없을 것이라고 설명했다. 방통위에 따르면 해커는 870만7천883건의 회원정보 중 745만5천74건의 개인정보를 2일에 걸쳐 훔쳐보고, 이 가운데 11만4천707건의 개인정보는 외부로 빼냈다. 방통위는 개인정보 유출로 인한 피해를 최소화하기 위해 판도라TV에 피해 회원에게 유출된 개인정보 항목과 유출 시점, 경위, 피해 최소화를 위한 조치방법, 이용자 상담 연락처 등을 개별 통보하도록 조치했다. 그러나 판도라TV는 현재 개인별 피해사실 조회를 위한 방법을 안내하지 못하고 있다. 다만 문의사항을 고객센터 이메일(cs@pandora.tv)로 연락하면 답변하겠다고만 밝히고 있다. 방통위는 판도라TV의 개인정보보호 관련 법규 준수 여부를 조사해 위반 사항이 있으면 엄격하게 조치할 계획이다. 방통위는 개인정보가 유출된 이용자가 2차·3차 추가 피해를 막으려면 판도라TV와 같은 아이디·비밀번호를 사용하는 모든 인터넷 사이트의 비밀번호를 바꿔야 한다고 당부했다. 또한 개인정보 침해 신고센터(☎ 118)를 24시간 가동하고 개인정보를 이용한 문자금융사기(스미싱)·사이트금융사기(파밍) 등 2차 피해 예방을 위한 모니터링을 강화하는 피해 최소화에 역량을 집중할 방침이다. 이 사건을 수사하고 있는 경기도 분당경찰서는 IP 추적 결과 해킹 당시 접속 지역이 중국으로 확인됐다고 설명했다. 그러나 다수 해커가 중국의 IP를 경유해 공격한다는 점 등을 고려하면 해커의 실제 접속 지역이 중국인지는 아직 알기가 어렵다. 이외에 해커가 한국의 IP도 일부 있었으나, 이는 가상사설망(VPN) IP여서 마찬가지로 추적이 어려운 상황이다. 또한 이 해커는 웹 서버의 취약점을 이용해 침투한 이후 데이터베이스(DB) 서버로 들어가 개인정보를 탈취한 것으로 판도라TV는 파악하고 있다. 경찰 관계자는 &'방송통신위원회와 한국인터넷진흥원 등이 조사에 착수, &'악성코드 분석보고서&'를 내놓으면 그때부터 추적수사에 나설 방침&'이라며 &'악성코드가 분석되는 데 1개월 정도 걸릴 것으로 예상한다&'고 말했다. 판도라TV는 &'재발 방지를 위해 관련 업무과정을 재검토하고 담당자의 개인정보 보호업무 교육을 강화할 것&'이라며 &'앞으로는 내부 보안체계를 강화해 소중한 개인정보를 보호하는데 전력을 기울일 것&'이라고 말했다. (성남·서울=연합뉴스)
공인중개사協 홈피 해킹…거래계약서 유출 우려 공인중개사協 홈피 해킹…거래계약서 유출 우려 등록일2014.02.17 부동산 중개인들의 모임인 한국공인중개사협회의 홈페이지가 악성 파일에 의해 해킹 당한 사실이 뒤늦게 밝혀졌다. 협회 홈페이지는 부동산 거래계약서 데이터베이스(DB)가 축적된 &'탱크21&' 프로그램과 연결돼 있어 거래 계약서까지 해킹된 경우 개인정보 유출에 따른 2차 피해가 발생할 수 있다는 지적이 나온다. 17일 한국공인중개사협회와 국토교통부, 보안업계 등에 따르면 지난달 SK C&&C의 자회사인 인포섹이 중개사협회의 의뢰를 받아 침해사고 조사를 진행했으며 지난해 11월8일 중개사협회의 홈페이지에서 해킹시도 사실이 발견돼 협회측에 통보한 것으로 전해졌다. 해킹은 중국 인터넷 프로토콜(IP)을 통해 협회 홈페이지 게시판에 해킹 프로그램인 웹셸을 올리는 방식으로 이뤄졌다. 인포섹이 작성한 &'침해사고대응결과 보고서&'를 보면 공인중개사협회 웹서버에서 다수의 웹쉘과 원격 실행프로그램이 발견됐다. 웹셸은 DB 유출, 스팸메일 발송 등을 가져오는 악성프로그램이다. 협회측은 지난해 11월 협회 홈페이지상의 전문교육과정인 &'부동산투자분석사&' 도메인의 교육문의 게시판에 악성파일을 실행하려는 시도가 탐지돼 협회 서버의 보안업체인 인포섹에 의뢰해 서버 점검을 했으며, 악성코드 파일이 심어져 있음을 확인했다고 설명했다. 협회와 인포섹은 지난달 20일 이 파일을 발견한 즉시 삭제 조치했다. 문제는 공인중개사협회 홈페이지와 연결된 부동산거래정보망인 &'탱크21&'의 서버까지 해킹됐는지 여부다. 탱크21은 공인중개사들끼리 부동산 거래정보를 공유하고 거래계약서를 작성·저장하는 민간 거래망으로 전체 중개업소의 76%인 6만2천여곳에서 사용중이다. 이 서버에는 1월말 현재 주택·토지·상가 등 약 595만건의 부동산 거래계약서 내용이 보관돼 있다. 계약서에는 거래자의 주민등록번호·주소·전화번호·부동산 가격·대출정보 등의 개인정보가 담겨 있어 만약 이 서버가 해킹됐다면 계약서 위조나 대출 사기 등 2차 피해가 발생할 것으로 우려된다. 일각에서는 홈페이지 서버와 탱크21 프로그램이 링크돼 있어 해킹 가능성을 배제할 수 없다고 보고 있다. 협회측은 그러나 거래계약서 해킹 가능성에 대해 단호하게 부인하고 있다. 부동산거래정보망 운영체계는 협회 홈페이지를 관리하는 웹서버와는 별도로 보안 방화벽을 구축해 별개로 운영되고 있으며, 자체 조사 결과에서도 거래정보망 서버의 해킹 흔적은 없다는 것이다. 협회 관계자는 &'홈페이지 해킹 시도가 있고 최근 카드사 개인정보 유출 등의 사건으로 협회 서버도 웹방화벽 등을 보강할 필요가 있어 관련 안건을 이사회에 상정하려고 컨설팅을 의뢰했던 것&'이라며 &'거래정보망이 해킹됐다는 일부의 주장은 사실과 다르고 보고받은 바도 없다&'고 말했다. 또다른 관계자는 &'최근 안전행정부로부터 개인정보 유출에 관한 전체적인 점검을 받았을 때도 해킹 등과 관련해 아무런 지적이 없었다&'고 덧붙였다. 정부는 사실 여부 조사와 함께 대책 마련에 나섰다. 경찰청 사이버테러 대책 수사대는 서버의 해커 침입여부와 정보유출 여부 확인을 위한 수사를 진행하기로 했다. 국토부 관계자는 &'경찰 조사결과를 지켜보면서 개인정보 강화와 보안강화 조치를 마련할 계획&'이라며 &'거래계약서 DB 관리를 중개사협회가 맡는 것에 대해서도 재검토할 방침&'이라고 말했다. (서울=연합뉴스)
정보 유출 항의..집단소송 가나 등록일2011.04.12 해킹 문의ㆍ항의 3만6천건 일부 고객 정신적 피해 배상 요구 현대캐피탈 해킹 사건으로 유출된 고객들의 정보가 계속 파악되면서 집단소송 가능성이 커지고 있다. 특히 고객 이메일 정보가 유출된 것이 `36만명 알파&'로, 알파가 얼마가 되느냐에 따라 피해 고객은 더욱 늘어날 것으로 보인다. 현대캐피탈에 전날 해킹 관련 문의ㆍ항의 전화가 3만6천건에 달했으나 아직 금전적 피해를 봤다는 신고는 없는 것으로 전해졌다. 12일 현대캐피탈과 금융감독원에 따르면 현재 약 42만명의 이름, 주민등록번호, 휴대전화 번호가 유출됐다. 이중 36만명은 이메일이 함께 해킹당했다. 이 회사가 제휴하는 리스용 차량정비 서버를 통해 고객이 시스템에 접속할 때 남긴 로그기록이 유출된 것이다. 또 회사가 고객에게 홍보용으로 발송하는 광고 이메일 서버가 뚫려 고객들의 이름과 이메일이 유출됐다. 이 서버를 통해 유출된 이메일 규모는 아직 파악 중이다. 이 때문에 지금까지 알려진 36만명 외에도 이메일이 유출된 고객은 더욱 늘어날 전망이다. 현대캐피탈 고객은 약 180만명이다. 그러나 아직 이번 해킹 사건으로 금전적 피해가 발생한 것은 없는 것으로 파악되고 있다. 현대캐피탈 관계자는 &'아직까진 금전적 피해를 봤다는 신고는 없었다&'고 말했다. 하지만, 현대캐피탈은 비밀번호까지 유출된 프라임론패스 고객 등에게는 가능하면 비밀번호를 변경하도록 계속 권유하고 있다. 특히 여러 금융기관과 거래를 하는 고객은 동일한 비밀번호를 사용하지 않는 것이 필요하다. 전날 피해대책센터에는 3만6천건의 해킹 관련 문의ㆍ항의 전화가 있었고 이중 1천300건 정도가 프라임론패스 비밀번호 변경, 카드 해지 관련 전화였다. 해킹 파장이 일파만파 번지면서 회사를 상대로 정신적 위자료 등을 요구하는 집단소송 가능성이 커지고 있다. 실제로 항의 전화 중에는 정신적 피해에 대한 보상을 요구하는 것도 있었다. 지난 2008년 1월 고객 1천만명의 정보가 유출된 옥션 해킹 사건이나 하나로텔레콤, GS칼텍스 개인정보 유출 사건에서도 손해배상 청구소송이 제기됐다. 현대캐피탈 관계자는 &'옥션 사례 등을 봤을 때 집단소송 가능성은 인식하고 있다&'고 말했다. 소송이 실제로 진행될 경우 현대캐피탈이 평소 고객의 정보를 얼마나 철저히 관리했는지가 쟁점이 될 것으로 보인다. 현대캐피탈은 고객 데이터베이스(DB)를 암호화해 놓은 상태지만 2009년 투자비 등을 이유로 새 솔루션 업그레이드 작업을 하지 않았다. 그러나 아직 금전적 피해가 신고되지 않아 집단소송이 쉽지 않을 것이라는 전망도 있다. 현대캐피탈은 다른 해커가 호기심 차원에서 추가로 해킹을 시도할 가능성에 대해서도 대비하고 있다. 이 회사 관계자는 &'해킹 사실을 공개한 이후 모든 경로를 차단했고 이후에는 해커의 접근이 없었다&'며 &'경찰이 수사 중인데 해킹을 하겠느냐&'고 반문했다. 아직 해커들이 협박한 대로 인터넷상에 고객정보가 유출되지도 않았고, 현대카드 서버가 해킹당한 흔적도 발견되지 않고 있다. 이번 현대캐피탈 사태를 계기로 금융회사의 정보보호 관련 조직과 인력, 예산은 늘어날 전망이다. 금융감독원도 금융회사들이 정보기술(IT) 검사 인력을 상당수 확충하도록 유도하는 방안을 추진한다. (서울=연합뉴스)
더보기