지연 신고도 문제…정보유출 처벌 강화돼야
'해킹 대중화' 시대…정보보호 투자 늘려야 개인정보 유출 사고가 또 터졌다. 이번에는 CJ올리브영이다. CJ올리브영 온라인몰에 로그인하면 다른 사람의 이름과 주문 내역, 배송주소, 회원등급, 적립금 상황 등의 개인정보가 노출된 것이다. 이번 사고로 개인정보가 유출된 피해자가 1만 명에 이르는 것으로 추산되고 있다.
CJ 올리브영, 늦장 신고 책임 작지 않아
개인정보 누출 사고가 일어난 것은 지난 16일이었다. CJ올리브영은 해킹으로 인한 유출은 아니고 시스템 변경작업 과정에서 오류가 발생해 일부 고객 정보가 유출됐다고 설명했다.
즉각 SNS에는 올리브영 온라인몰에서 개인정보가 유출되고 있다는 글이 올라왔다. CJ올리브영이 사태를 파악한 것도 16일인 것으로 알려졌다. 그런데 CJ올리브영이 관계기관에 신고한 것은 일주일 정도가 지난 22일이었다.
정보통신서비스 제공자는 단 1명의 개인정보가 분실되거나 도난, 유출이 발생하면 24시간 이내 신고하도록 개인정보보호법에 규정돼 있다. CJ올리브영은 이 규정을 어긴 것이다. 따라서 개인정보보호위원회는 올리브영이 유출 사실을 회원들에게 통지하고 신고 기한을 준수했는지 등을 조사할 것으로 알려졌다.
CJ 올리브영, 정보보호 투자에 소극적
IT 기반 사회에서 정보보호는 필수불가결의 요소다. 아무리 많이 투자해도 과할 수가 없는 것이다. 그런데 CJ올리브영은 정보보호 투자에 다른 경쟁 기업에 비해 상대적으로 소극적인 것으로 나타났다.
과학기술정보통신부가 기업들의 정보보호 의무공시 제도가 처음으로 시행된 지난해 발표한 주요 648개 기업의 투자현황을 보면 CJ올리브영은 전체 정보기술 투자의 6.4%에 해당하는 25억9000만 원을 정보보호에 투자한 것으로 나타났다.
전체 기업 평균 금액인 32억 원과 투자비율이 9.13%에 모두 미치지 못하는 수준이다. CJ올리브영이 속해있는 도·소매업으로 한정해 보더라도 전체 평균이 정보보호 투자액 27억 원, 투자비율 9.1%로 나타나 CJ올리브영은 평균에도 미치지 못하는 것을 알 수 있다.
또 각 기업의 정보보호 전담인력이 전체 정보기술 인력에서 차지하는 비중은 전체 평균 10.6%이고 도·소매업은 11.8%인데 비해 CJ올리브영은 6.8%에 그치는 것으로 나타났다. 그만큼 CJ올리브영이 정보보호 투자와 관리에 인색했음을 알 수 있다. 물론 CJ올리브영은 오프라인 매장의 매출 비중이 크지만, 회원 수가 1100만 명에 달하는 것을 감안하면 정보보호 투자에 소홀히 했다는 비난을 피할 수 없을 것으로 보인다.
정보 유출돼도 솜방망이 처벌이 문제
물론 우리 기업이 정보보호 투자에 인색하다는 것은 올리브영만의 문제는 아니다. 우리 기업의 정보보호 투자 비중 9.13%는 미국의 23%나 영국과 프랑스 20%의 절반에도 미치지 못하는 수준이다. 이는 정보보호 투자가 당장 기업 이익과 직결되지 않는다는 것과 정보보호를 기업이 해야 할 일이 아니라 정부나 공공부문에서 해 줄 것으로 생각하는 그릇된 믿음에 근원하고 있다.
이와 더불어 고객 정보가 유출돼도 처벌이 솜방망이 수준에 머무는 것이 기업들이 정보보호 투자를 늘리지 않는 원인 증의 하나로 지목되고 있다. 현행법상 정보유출에 대한 과징금은 5억 원 이하로 규정돼 있다. 그러나 이마저도 부과되는 경우가 거의 없다. 지금까지 최고의 과징금이 부과된 사례는 980만 명의 개인정보 유출 사고가 난 KT에게 2021년 내려진 5000만 원이 가장 큰 규모다.
정보유출에 대한 손해배상에도 문제가 있다. 손해배상의 범위는 손해액의 3배 안에서 책정되는데 손해액은 피해를 입은 소비자가 입증해야 하기 때문에 사실상 효과를 보기 어렵다는 게 전문가들의 지적이다.
해킹의 대중화에 대비한 정보보호 투자 절실
지난 10일 광주지법이 고등학교에서 교사의 노트북을 해킹해 시험지와 답안지를 빼낸 고등학생 2명에게 실형을 선고한 일이 있었다. 이 사건이 더욱 놀라운 것은 고등학생들이 직접 해킹프로그램을 제작했다는 것이다. 인터넷에 들어가면 누구나 해킹 방법과 도구를 구할 수 있는 세상이 된 것이다. 한마디로 누구나 마음만 먹으면 해킹이 가능한 해킹 대중화 시대에 접어든 것이다.
2020년 이후 월평균 12곳의 기업과 기관에서 50만 건의 개인정보가 유출되고 있다는 통계가 있다. 이러한 공격을 막을 수 있는 것은 결국 방어막을 위한 정보보호 투자를 늘리는 수밖에 없다. 그래야만 이번 CJ올리브영의 개인정보 유출처럼 시스템 변경 과정에서 정보를 누출하는 어이없는 사고도 막을 수 있을 것이다.
KPI뉴스 / 김기성 대기자 bigpen@kpinews.kr
[저작권자ⓒ KPI뉴스. 무단전재-재배포 금지]
