이코노믹데일리 - 경제의 새로운 지평을 여는 웹4.0 선도 미디어

이코노믹데일리 - 정확한 뉴스와 깊이 있는 분석

검색

패밀리 사이트: 아주경제; 아주로앤피; 아주일보

회원서비스: 로그인; 회원가입; 지면보기; 네이버블로그

2025.12.04 목요일

구름 서울 -4˚C

맑음 부산 -0˚C

눈 대구 -0˚C

맑음 인천 -2˚C

흐림 광주 4˚C

흐림 대전 -1˚C

구름 울산 -0˚C

흐림 강릉 0˚C

흐림 제주 10˚C

검색결과 총 20건

개인정보위 "쿠팡, '노출' 아닌 '유출'로 정정해 다시 알려라"… 행정지도 착수 [이코노믹데일리] 사상 최대 규모인 3370만명의 개인정보 유출 사고를 일으킨 쿠팡이 사태 초기 피해 사실을 '유출'이 아닌 '노출'로 축소 통지한 것에 대해 정부가 시정을 권고했다. 또한 정부는 이번 사태를 계기로 기업의 책임을 강화하기 위해 징벌적 손해배상제도를 현실화하고 무용론이 제기된 정보보호 인증 체계(ISMS-P)를 전면 개편하기로 했다. 개인정보보호위원회(이하 개인정보위)는 3일 긴급 전체회의를 열고 쿠팡에 개인정보 '노출' 통지를 '유출'로 정정하고 누락된 피해 항목을 포함해 이용자에게 재통지할 것을 권고했다고 밝혔다. 개인정보위 조사 결과 쿠팡은 지난달 18일 비정상적 접속으로 고객 정보가 외부로 빠져나간 사실을 확인했음에도 피해자들에게 보낸 문자메시지와 홈페이지 공지에는 '개인정보 노출'이라는 표현을 사용했다. 법적으로 '노출'은 정보가 누구나 볼 수 있는 상태를 '유출'은 통제권을 상실해 권한 없는 자에게 넘어간 상태를 뜻한다. 업계에서는 쿠팡이 집단소송이나 징벌적 배상 리스크를 줄이기 위해 의도적으로 표현을 순화한 것 아니냐는 비판이 제기돼 왔다. 이에 개인정보위는 이용자의 혼선을 막기 위해 용어를 '유출'로 명확히 수정하고 공동현관 비밀번호 등 당초 공지에서 빠진 항목까지 포함해 다시 알리도록 했다. 또한 홈페이지 초기 화면이나 팝업창에 피해 사실을 일정 기간 이상 게시하고 2차 피해 방지를 위한 전담 대응팀(Help Desk)을 확대 운영할 것을 주문했다. 송경희 개인정보위 위원장은 이날 국회 정무위원회 전체회의에 출석해 "과징금을 강화하고 징벌적 손해배상제도의 실효성을 강구할 수 있는 방안을 찾겠습니다"라고 밝혔다. 이는 전날 이재명 대통령이 "피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다"며 관계 부처에 실효적인 대책 마련을 지시한 데 따른 후속 조치다. 송 위원장은 "3370만명의 개인정보가 유출됐고 이름, 이메일 주소, 배송지 정보, 주문정보 등이 유출된 것으로 확인됐다"며 "배송지 주소에는 회원뿐 아니라 가족, 지인, 받는 사람 주소와 일부 공동현관 비밀번호가 포함됐다"고 설명했다. 이어 "사업자가 개인정보 보호에 인적·물적 투자를 하도록 효과적인 유인체계를 만들겠다"고 강조했다. 정부는 이번 사고를 계기로 유명무실하다는 지적을 받아온 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도도 대대적으로 손질한다. 쿠팡은 ISMS-P 인증을 유지하고 있었음에도 이번 사고를 막지 못했다. 실제로 2020년 이후 ISMS-P 인증 기업에서 발생한 개인정보 유출 사고는 34건에 달한다. 정부는 향후 인증 심사를 기존 서류 중심에서 '모의 해킹'을 포함한 현장 심사 위주로 전환하고 중대 결함 발견 시 인증을 즉시 취소하는 ‘원스트라이크 아웃’ 제도를 도입할 방침이다. 김승주 고려대 정보보호대학원 교수는 “(정부가) ISMS-P를 현실화시키면서 모의 해킹 위주로 검토하는 것 같다”면서 “ISMS-P 평가자들이 있는데 우선 평가자들을 모아놓고 현장의 (여러) 의견을 들어봐야 한다”고 조언했다. 개인정보위 관계자는 "쿠팡이 개선 권고를 따를지 아니면 그렇지 않을지를 보면 (쿠팡이) 국내 소비자를 어떤 식으로 바라보는지 알 수 있을 것"이라며 "개인정보위로서는 우선 쿠팡에 ‘경고’를 한 셈인데 이번 개선 권고를 이행하지 않으면 나중에 실제 제재 때 영향을 줄 수 있다"고 밝혔다. 한편 쿠팡은 지난달 20일 4536개 계정 유출로 1차 신고를 했으나 이후 정밀 조사 과정에서 피해 규모가 3370만 개로 늘어나 지난달 29일 2차 신고를 접수했다. 현재 민관합동조사단이 정확한 유출 경위와 쿠팡의 보안 조치 위반 여부를 조사 중이다.
2025-12-03 15:49:43
"3000만명 털릴 동안 몰랐다"… 인증키 도난당한 쿠팡, 국회서 뭇매 [이코노믹데일리] 단일 기업 기준 사상 최대 규모인 3300만건의 개인정보 유출 사고를 일으킨 쿠팡이 해커의 공격에 5개월 가까이 무방비로 노출됐던 것으로 정부 조사 결과 드러났다. 국회에서는 쿠팡이 사태 초기 개인정보 ‘유출’을 ‘노출’로 축소 표현해 책임을 회피하려 했다는 질타가 쏟아졌고, 박대준 쿠팡 대표는 이에 대해 공식 사과했다. 과학기술정보통신부와 국회 과학기술정보방송통신위원회(과방위)에 따르면 류제명 과기정통부 2차관은 2일 열린 국회 과방위 긴급 현안 질의에서 이번 사고의 기술적 원인과 경과를 보고했다. 과기정통부 분석 결과 해커의 공격이 식별된 기간은 지난 6월 24일부터 11월 8일까지로 약 5개월에 달했다. 류 차관은 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3천만 개 이상 계정에서 개인 정보가 유출됐다”며 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”고 밝혔다. 특히 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 탈취되어 사용된 것으로 확인됐다. 이는 해커가 아이디나 비밀번호 없이도 마치 정상적인 시스템 권한을 가진 것처럼 서버를 드나들 수 있었다는 의미로 쿠팡의 보안 관리 체계에 치명적인 구멍이 뚫려 있었음을 시사한다. 이날 국회에서는 쿠팡의 부적절한 대응 태도에 대한 성토가 이어졌다. 특히 쿠팡이 사고 사실을 공지하면서 법적 용어인 ‘유출’ 대신 ‘노출’이라는 표현을 사용한 것이 도마 위에 올랐다. 정보보호 업계에서는 이를 두고 미국 증시에 상장된 모회사 쿠팡Inc가 직면할 수 있는 집단소송이나 징벌적 배상 리스크를 줄이기 위한 꼼수로 해석했다. ‘유출’은 통제권을 상실한 상태를, ‘노출’은 누구나 접근 가능한 상태를 의미해 법적 책임의 무게가 다를 수 있기 때문이다. 이훈기 더불어민주당 의원은 박대준 대표를 향해 “쿠팡이 사고 후 가입자들에게 보낸 문자에서 ‘유출’이 아니라 ‘노출’이라는 표현을 썼다”며 “이건 국민을 기만하는 것이다. 왜 이렇게 표현했느냐 과징금 등을 피하려 한 것이냐”고 강하게 질타했다. 이에 대해 증인으로 출석한 박대준 쿠팡 대표는 “어떤 책임을 모면하려는 의미는 아니었다”며 “의원님 지적처럼 다른 의도는 없었다”고 해명했다. 그러나 이 의원이 재차 추궁하자 박 대표는 “저희가 생각이 부족했던 것 같다”며 고개를 숙였다. 실질적 오너인 김범석 쿠팡Inc 의장의 책임론도 불거졌다. 김 의장은 한국 쿠팡 지분 100%를 보유한 모회사의 최대 주주이자 의결권 74.3%를 가진 실력자다. 그러나 이번 사태와 관련해 별다른 입장을 내놓지 않고 있다. 이 의원이 “김범석 의장이 직접 사과할 의향은 없느냐”고 묻자 박 대표는 “한국 법인에서 발생한 일이고 제 책임하에 있기 때문에 제가 다시 한번 사과 말씀 드린다”며 김 의장을 대신해 방어막을 쳤다. 이번 사건의 유력한 용의자로 거론되는 전직 중국인 직원에 대한 언급도 나왔다. 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”면서도 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만 건의 개인정보 유출을 주장했다”고 전했다. 현재 경찰과 민관합동조사단은 내부자 공모 가능성까지 열어두고 수사를 진행 중이다. 당초 쿠팡은 지난달 4536개 계정에서 정보가 유출됐다고 당국에 신고했으나 정부의 조사 과정에서 피해 규모가 3379만개 계정으로 눈덩이처럼 불어났다. 과기정통부는 민관합동조사단을 통해 사고 원인을 정밀 분석하고 있으며 향후 유사 사례 방지를 위한 대책 마련에 착수했다.
2025-12-02 11:27:39
쿠팡發 개인정보 유출…이커머스 전반 '보안 셧다운' 비상 [이코노믹데일리] 쿠팡에서 3000만건이 넘는 대형 개인정보 유출 사고가 발생하면서 이커머스 업계 전반에 비상이 걸렸다. 쿠팡이 매년 800억~900억원 규모의 정보보호 투자를 이어왔음에도 이번 사고가 발생한 데다, 내부 인증토큰·서명키 등이 전직 직원에게서 악용된 정황이 드러나면서 업계는 단순 해킹이 아닌 ‘내부 통제 실패’가 핵심 원인이라는 데 무게를 두고 있다. 1일 관련업계에 따르면 지난 2023년 개정된 개인정보보호법에 따라 개인정보 유출 시 매출의 최대 3%까지 과징금이 부과될 수 있는 상황에서 쿠팡의 제재 규모는 최대 1조원대에 이를 수 있다는 전망이 제기되고 있다. 쿠팡의 올해 3분기 누적 매출은 36조3000억원으로, 성장사업을 제외한 이커머스 중심 매출 약 31조원을 기준으로 하면 과징금 상한은 약 1조2000억원 수준이다. 이번에 유출된 정보는 이름, 전화번호, 이메일, 주소뿐 아니라 일부 주문 내역까지 포함된 것으로 확인됐다. 일반적 통신사 정보 유출보다 생활과 밀접한 배송지 정보까지 빠져나간 만큼 스미싱·피싱 등 2차 범죄에 악용될 가능성이 크다는 지적이 나온다. 특히 유출 정보 규모가 당초 신고한 4536건에서 조사 과정에서 3379만개 계정으로 급증한 점도 충격을 키우고 있다. 이커머스 업체들은 주말 동안 긴급 점검에 나섰다. G마켓은 자체 긴급 보안점검을 완료했으며 후속 조치를 논의 중이라고 밝혔다. SSG닷컴과 롯데온도 내부 통제 강화와 추가 점검 계획을 마련 중이다. 11번가는 24시간 보안관제 체계를 운영 중이라며 서버·DB 접속 이력을 재점검할 계획이라고 밝혔다. 컬리는 “결제 승인에 필요한 최소한의 마스킹 정보만 보관하고 있다”며 사고 재발을 막기 위한 선제적 내부통제를 진행하고 있다. 업계 내에서는 최근 국내 기업과 해외 플랫폼 간 합작이 늘어나는 점도 보안 리스크를 키울 수 있다고 지적한다. 지마켓과 알리바바의 합작법인 설립 사례처럼 데이터 흐름이 해외로 확장되는 구조가 강화되면서 소비자 정보가 국외로 이전될 가능성이 커졌다는 우려다. 알리익스프레스·테무·쉬인 등 중국계 이커머스의 국내 확장도 데이터 관리 문제를 둘러싼 불안 요인을 키우고 있다. 정부와 국회도 대응에 착수했다. 국회 과학기술정보방송통신위원회는 오는 2일 전체회의를 열고 쿠팡 대표 및 정보보안 담당자 등을 상대로 사고 경위와 재발 방지 대책을 질의한다. 정무위원회도 3일 현안질의를 진행해 개인정보보호위원회, 금융당국, 공정거래위원회 등을 대상으로 관련 대책을 점검할 예정이다. 과기정통부는 민관합동조사단을 꾸려 원인 분석에 들어갔다. 소비자단체의 움직임도 거세다. 한국소비자단체협의회는 성명을 통해 “주소, 연락처, 공동현관 비밀번호까지 포함된 민감 정보가 노출됐다”며 “쿠팡이 즉각적인 배상안과 피해구제책을 마련하지 않을 경우 회원 탈퇴·불매운동 등 전면 대응에 나서겠다”고 밝혔다. 정부에는 강력한 행정처분을, 국회에는 집단소송제·징벌적 손해배상 등 ‘소비자 3법’ 처리를 촉구했다. 업계 관계자는 “상당 규모의 투자에도 불구하고 내부 통제의 허점이 드러난 사건”이라며 “정보보호 체계를 근본적으로 재검토하는 계기가 될 것”이라고 말했다.
2025-12-01 16:37:26
공정위, '확률 조작' 웹젠에 과징금 철퇴… 이용자는 집단소송 예고 [이코노믹데일리] 모바일 게임 ‘뮤 아크엔젤’에서 확률형 아이템의 획득 확률을 조작하고 이를 은폐한 게임사 웹젠이 공정거래위원회의 제재를 받았다. 그러나 피해 규모 대비 과징금 액수가 턱없이 부족하다는 지적이 제기되면서 게임 이용자들은 단체 소송을 불사하겠다는 강경한 입장을 밝혔다. 공정거래위원회는 웹젠이 ‘뮤 아크엔젤’의 확률형 아이템을 판매하면서 획득 가능성을 거짓으로 알리거나 은폐·누락한 행위에 대해 시정명령과 함께 과징금 1억5800만원을 부과했다고 1일 밝혔다. 이에 대해 게임이용자협회는 ‘웹젠 게임 피해자 모임’과 공동 성명을 내고 민사 소송을 통한 피해 구제에 나설 것임을 공식화했다. 공정위에 따르면 웹젠은 2020년 6월부터 2024년 3월까지 ‘세트 보물 뽑기권’ 등 3종의 확률형 아이템을 판매하면서 특정 횟수 이상 구매하기 전까지는 희귀 아이템을 절대 얻을 수 없는 이른바 ‘바닥 시스템’을 운영하고도 이를 소비자에게 알리지 않았다. 예를 들어 캐릭터 레벨 400 이하 이용자가 ‘레전드 장신구 세트석 패키지’를 얻으려면 최소 100회 이상 뽑기를 시도해야 비로소 0.3%의 획득 확률이 생긴다. 99회까지는 획득 확률이 0%였음에도 웹젠은 이를 명시하지 않고 단순 확률(0.286%~0.88%)만 고지해 소비자를 기만했다. 공정위는 이러한 행위가 전자상거래법상 거짓·과장된 사실을 알리거나 기만적 방법을 사용하여 소비자를 유인한 행위에 해당한다고 판단했다. 특히 웹젠의 경우 피해자가 2만여 명에 달함에도 불구하고 보상을 받은 인원이 860명에 그치는 등 소비자 피해 구제 노력이 미흡했다고 보아 앞서 유사한 위반 행위로 적발된 그라비티, 위메이드, 크래프톤, 컴투스 등 4개 사(과태료 250만원)보다 무거운 처분을 내렸다. 타 게임사들이 자진 시정과 충분한 환불 조치를 취한 것과 대조적이다. 하지만 이용자들은 공정위의 제재 수위가 웹젠이 거둔 부당 이득에 비해 미미하다고 반발하고 있다. 공정위 조사 결과 웹젠이 문제가 된 기간 동안 해당 아이템 판매로 거둔 매출액은 약 67억원으로 집계됐다. 반면 부과된 과징금은 매출의 약 2.3% 수준인 1억5800만원에 불과하다. 현행 전자상거래법 규정상 과징금 산정의 한계가 드러난 대목이다. 게임이용자협회는 “공정위 처분을 환영한다”면서도 실질적인 피해 복구를 위해 법적 행동에 나서겠다고 밝혔다. 협회 측은 “공정위 제재에도 피해자의 95% 이상이 아무런 보상을 받지 못한 상황”이라며 “위법행위로 얻은 매출액이 약 67억원으로 집계되었으나 과징금은 1억6000만원에 불과해 실질적인 피해 회복을 위해서는 민사소송이 불가피하다”고 강조했다. 협회는 지난해부터 웹젠 피해자 모임과 연대해 트럭 시위 등을 진행해 왔으며 이번 공정위 의결서를 바탕으로 피해 이용자들을 모아 조만간 단체 소송을 제기할 계획이다. 또한 협회는 이번 건 외에도 현재 공정위가 조사 중인 ‘뮤 아크엔젤’의 옵션 상한선 은폐 의혹, ‘어둠의 실력자가 되고 싶어서!’의 기습 서비스 종료, ‘뮤 오리진’의 슈퍼계정 의혹 등에 대해서도 예의주시하고 있다. 공정위 관계자는 “과징금 액수는 전자상거래법 규정에 따라서 산정한 금액”이라며 온라인 거래가 보편화된 현실을 반영해 법적 제재 기준을 강화할 필요가 있음을 시사했다. 이번 사태는 확률형 아이템 정보 공개 의무화 이후 드러난 게임사의 기만적 운영 실태와 솜방망이 처벌 논란을 동시에 불러일으키며 업계에 큰 파장을 예고하고 있다.
2025-12-01 15:29:07
쿠팡, 3370만명 개인정보 유출 확인…5개월간 '몰라', 정부 합동조사 착수 [이코노믹데일리] 국내 이커머스 1위 기업 쿠팡에서 사상 초유의 개인정보 유출 사태가 발생했다. 유출된 계정 수만 3370만개에 달하며 해킹 시도가 시작된 지 5개월이 지나서야 이를 인지한 것으로 드러나 기업의 보안 관제 능력과 도덕성에 치명적인 타격을 입게 됐다. 30일 IT 업계에 따르면 쿠팡은 전날(29일) 공지를 통해 "고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다"고 밝혔다. 이는 쿠팡이 지난 20일 당국에 최초 신고했던 4500여 개보다 무려 7500배나 늘어난 수치다. 쿠팡의 지난 3분기 활성 고객 수(2470만명)를 훌쩍 뛰어넘는 규모로 현재 이용 중인 고객은 물론 휴면 계정이나 탈퇴 회원의 정보까지 사실상 전 국민의 데이터가 털린 '보안 참사'다. ◆ 5개월간 제집 드나들듯…구멍 뚫린 '로켓 보안' 가장 심각한 문제는 '늑장 인지'다. 쿠팡과 정부의 1차 조사 결과 해커들은 이미 지난 6월 24일부터 해외 서버를 우회해 쿠팡 내부망에 접근한 것으로 추정된다. 쿠팡이 이를 처음 인지한 시점은 11월 18일로, 무려 5개월 가까이 고객 정보가 빠져나가는 것을 전혀 감지하지 못했다. '기술 기업'을 자처하던 쿠팡의 보안 시스템이 반년 가까이 무력화됐다는 사실은 충격적이다. 업계에서는 "기본적인 이상 징후 탐지 시스템(IDS)조차 제대로 작동하지 않았거나 내부 모니터링 인력이 이를 간과했을 가능성이 높다"고 지적한다. 유출된 정보는 이름, 이메일, 휴대전화 번호, 배송지 주소 등이다. 쿠팡 측은 "결제 정보나 비밀번호 등 민감 정보는 유출되지 않았다"며 "무단 접근 경로를 차단하고 내부 모니터링을 강화했다"고 해명했다. 또한 "이번 일로 발생한 모든 우려에 대해 진심으로 사과드리며 수사기관 및 규제 당국과 협력해 사태 수습에 만전을 기하겠다"고 밝혔다. ◆ "현관 비번은 안전한가?"…안일한 해명이 키운 공포 쿠팡의 해명에도 불구하고 소비자들의 불안감은 증폭되고 있다. 특히 '배송지 주소' 유출은 단순한 스팸 문자를 넘어 오프라인 범죄로 이어질 수 있는 심각한 사안이다. 쿠팡의 핵심 서비스인 '로켓배송' 특성상 대다수 고객이 '공동현관 비밀번호'나 '자택 현관 비밀번호'를 배송 요청 사항에 기입해 두기 때문이다. 맘카페와 온라인 커뮤니티에서는 "이름, 주소, 전화번호가 다 털렸는데 결제 정보만 안전하면 끝이냐", "현관 비밀번호까지 넘어갔을까 봐 두렵다"는 성토가 쏟아지고 있다. 쿠팡은 이에 대한 명확한 언급 없이 "민감 정보는 안전하다"는 말만 되풀이하고 있다. 이는 고객이 느끼는 실질적인 공포를 외면한 기계적인 대응이라는 비판을 피하기 어렵다. 사태가 걷잡을 수 없이 커지자 정부가 직접 나섰다. 과학기술정보통신부와 개인정보보호위원회는 30일부터 민관합동조사단을 구성해 사고 원인 분석과 재발 방지 대책 마련에 착수했다. 경찰청 사이버수사대 역시 지난 25일 수사에 돌입했다. 핵심 쟁점은 쿠팡이 개인정보보호법상 '안전조치 의무'를 다했는지 여부다. 법조계에서는 대규모 집단소송이 예고되고 있다. 김경호 변호사는 페이스북을 통해 "유출 규모가 3700만명으로 전 국민에 육박하고 주소 정보는 스토킹 등 오프라인 범죄로 이어질 가능성이 있다"며 "쿠팡의 과실이 인정될 경우 10만 원 중반대 이상의 손해배상도 기대할 수 있다"고 분석했다. 이미 네이버 카페 등에는 피해자 모임이 결성돼 가입자가 속출하고 있다. "이번 사태는 쿠팡의 위기 관리 능력이 얼마나 취약한지를 여실히 드러냈다. 최초 신고 당시 피해 규모를 4,500명 수준으로 축소하려다 조사가 본격화되자 9일 만에 3,370만 명으로 정정한 행태는 기업의 도덕성에 심각한 의문을 품게 만든다. 롯데카드나 KT 등 과거 대형 보안 사고 때마다 반복됐던 ‘간 보기식’ 공지가 쿠팡에서도 재현된 셈이다. 한편 쿠팡은 그동안 택배 노동자 과로사, 블랙리스트 의혹, 입점 업체 수수료 갑질 등 숱한 논란의 중심에 서 있었다. 여기에 고객의 가장 기본적인 권리인 ‘정보 보호’마저 뚫리면서 스스로 자부하던 ‘혁신 기업’의 이미지는 바닥으로 추락했다. 이번 사고는 한국인의 일상을 지배하고 있지만 본질은 미국 법인(Coupang, Inc.)인 쿠팡이 과연 한국 시장에서 그 거대한 위상에 걸맞은 사회적 책임을 다하고 있는지 근본적인 물음을 던지고 있다.
2025-11-30 11:27:24
자료 18만건 해킹당한 로고스, SKT 소송 대리하며 뒤로는 고객정보 1년 넘게 은폐 [이코노믹데일리] SK텔레콤 해킹 피해자들을 대리해 "기업의 보안 책임을 묻겠다"며 집단소송을 주도했던 법무법인 로고스가 정작 자신들은 더 심각한 수준의 보안 구멍을 방치해오다 1.6TB(테라바이트)에 달하는 고객 소송 자료를 해킹당하는 촌극을 빚었다. 심지어 유출 사실을 알고도 1년 넘게 은폐한 정황까지 드러나며 도덕성 논란까지 일고 있다. '남의 눈의 티'를 탓하려다 '제 눈의 들보'에 발목이 잡힌 격이다. 개인정보보호위원회는 21일 대규모 소송자료 유출 사고를 일으킨 법무법인 로고스에 대해 과징금 5억2300만원과 과태료 600만원을 부과하고 시정명령을 내렸다고 밝혔다. 이는 개인정보위가 로고스의 위반사항을 '매우 중대한 위반'으로 판단한 결과다. ◆ 1.6TB '판도라의 상자' …SKT 때보다 심각 이번 해킹으로 유출된 자료의 양은 자그마치 1.59TB에 달한다. 단순한 개인정보를 넘어 소장, 판결문, 금융거래내역서, 범죄일람표, 진단서 등 지극히 민감한 소송 관련 문서 18만5000여 건이 고스란히 털렸다. 이정은 개보위 조사2과장이 "SK텔레콤 해킹 때 유출된 양(9.8GB)보다 훨씬 큰 규모"라고 언급할 정도로 피해의 깊이와 범위는 상상을 초월한다. 해커는 지난해 7~8월 로고스 관리자 계정을 탈취해 내부 인트라넷을 제집 드나들듯 휘젓고 다녔다. 하지만 로고스의 보안 수준은 처참했다. 외부 접속 시 아이디와 비밀번호 외에 아무런 추가 인증 절차가 없었고 주민등록번호나 계좌번호 같은 핵심 정보조차 암호화하지 않고 날것 그대로 저장했다. '변호사 사무실'이라는 간판이 무색할 정도로 기본적인 '문단속'조차 하지 않은 셈이다. ◆ 해킹당한 주제에 해킹 소송?…로고스의 '두 얼굴' 가장 큰 공분을 사는 지점은 로고스의 이중적인 태도다. 로고스는 지난해 9월 이미 해킹 사실을 인지했다. 하지만 고객들에게 이를 알린 것은 무려 1년이 지난 올해 9월 29일이었다. 더 충격적인 것은 자신들의 보안이 뚫려 조사를 받고 있던 바로 그 시기(올해 4~5월)에 로고스가 SK텔레콤 유심 해킹 사태의 피해자들을 모집해 집단소송에 나섰다는 사실이다. "고객 정보를 철저히 보호해야 할 기업이 책무를 다하지 않았다"고 SK텔레콤을 맹비난하며 수임료를 챙기려 했던 그들이 뒤로는 자신의 고객 정보를 해커의 손에 넘겨주고도 입을 닫고 있었던 것이다. 한 IT 업계 관계자는 "자사 의뢰인의 민감 정보를 대량 유출해 조사받던 로펌이 남의 해킹 사건을 대리하겠다고 나선 것은 도덕적 해이의 극치"라며 "고객 보호보다 수임료와 평판 관리를 우선시한 게 아니냐"고 꼬집었다. 로고스 측은 "자료가 방대해 확인에 시간이 걸렸다"고 해명했지만 개보위 위원들조차 "논리적이지 않다"고 질타할 만큼 설득력을 얻지 못하고 있다. 이번 사건은 법률 전문가 집단조차 디지털 보안 불감증에서 자유롭지 않음을 적나라하게 보여줬다. 남을 심판하기 전에 자신부터 돌아봐야 한다는 평범한 진리를 망각한 대가로 로고스는 5억원의 과징금보다 더 뼈아픈 '신뢰의 추락'을 감수해야 할 처지에 놓였다.
2025-11-21 17:56:01
SKT, 개인정보위 '30만원 배상안' 거부…'7조원 리스크'에 법정행 [이코노믹데일리] SK텔레콤이 개인정보 유출 피해자에게 1인당 30만원을 배상하라는 정부의 조정안을 끝내 수용하지 않기로 했다. 이를 받아들일 경우 향후 배상 규모가 최대 7조원에 달할 수 있다는 재무적 부담이 결정적인 이유로 작용했다. 20일 업계에 따르면 SK텔레콤은 개인정보보호위원회 분쟁조정위원회(분조위)가 지난 4일 제시한 조정안에 대해 '불수락' 방침을 정하고 이날 중 관련 의견서를 제출할 예정이다. 분조위 조정은 당사자 중 한쪽이라도 거부하면 불성립으로 종결되며 피해자들은 별도의 민사소송을 통해 권리를 구제받아야 한다. SK텔레콤이 조정안을 거부한 핵심 배경은 '천문학적인 배상액'에 대한 우려다. 이번 조정 신청인은 3998명이지만 이는 전체 피해 추정치(약 2300만명)의 0.02%에 불과하다. 만약 SK텔레콤이 이번 조정안을 수용해 배상 선례를 남길 경우 전체 피해자에게 동일한 기준을 적용했을 때 배상액은 약 6조9000억원에 이르게 된다. 회사 측은 이미 해킹 사태 수습과 유심 교체 등에 1조원 이상의 비용을 투입했다며 조정안이 이러한 자구 노력을 충분히 반영하지 않았다고 반발해왔다. 앞서 지난 8월 방송통신위원회 분쟁조정위가 권고한 위약금 감면안을 거부한 것과 같은 맥락이다. 결국 SK텔레콤은 확정된 조정안 수용보다는 승패가 불확실하더라도 법정에서 다투는 것이 경영상 안전하다고 판단한 것으로 보인다. 이에 따라 피해 구제 절차는 법원으로 넘어가게 됐다. 이미 피해자 약 9000명은 SK텔레콤을 상대로 1인당 50만원의 위자료를 청구하는 손해배상 소송을 제기했으며 내년 1월 첫 변론이 시작될 예정이다.
2025-11-20 15:09:57
NH투자증권, 파두 상장 관련 손해배상 소송 피소...1억원 청구 [이코노믹데일리] NH투자증권이 파두의 코스닥 상장 과정에서 법무법인 한누리로부터 1억원 규모의 손해배상 청구 소송을 당했다고 7일 공시했다. 소송을 제기한 원고 측은 "파두가 코스닥 상장을 위해 지난 2023년 7월 증권신고서와 투자설명서를 작성 공시하면서 이를 거짓 기재해 주식을 공모 발행했고 그 과정에서 증권신고서 등의 거짓기재를 방지하기 위해 적절한 주의의무가 있는 피고는 오히려 거짓 기재에 적극 관여한 바 그로 인해 주가가 하락함으로써 입은 손해배상금을 청구한다"고 설명했다. 한국거래소는 이날 NH투자증권에 대해 '증권관련 집단소송 제기'를 사유로 오전 7시58분부터 9시30분까지 약 1시간30분 동안 주권 매매거래를 정지했다고 공시했다. 이와 관련 NH투자증권은 "파두 기업 실사관련 가이드라인에 따라 충실히 기재했으며 그 와중에 어떠한 불법적인 행위는 없었다"고 말했다.
2025-11-07 09:56:50
개인정보위, KT 악성코드 감염 서버에 개인정보 저장 확인…"SKT 전례 고려해 유출 여부 조사 착수" [이코노믹데일리] "개인정보 유출 정황이 보이지 않아 신고하지 않았다." 'BPF도어' 악성코드 감염 사실을 1년간 은폐해 온 KT가 내놓은 해명이다. 하지만 이 해명은 SK텔레콤(SKT)이라는 '판박이' 사례 앞에서 설득력을 잃고 있다. 같은 계열의 악성코드로 2300만명의 개인정보가 유출된 SKT의 전례를 볼 때 KT 역시 대규모 개인정보 유출을 피하지 못했을 것이라는 의혹이 눈덩이처럼 불어나고 있다. 개인정보보호위원회(개인정보위)도 사안의 심각성을 인지하고 KT에 대한 본격적인 조사에 착수했다. 7일 정부에 따르면 KT 해킹 사고를 조사 중인 민·관 합동조사단은 KT가 지난해 악성코드에 감염됐던 서버 43대에 성명, 전화번호, 이메일 주소, 단말기식별번호(IMEI) 등 민감한 개인정보가 저장돼 있었다고 공식 확인했다. 그럼에도 불구하고 KT는 현재까지 개인정보위에 '개인정보 유출' 신고를 하지 않은 것으로 드러났다. 현행 개인정보보호법은 1000명 이상의 개인정보가 유출된 사실을 인지하면 72시간 내에 개인정보위에 신고하도록 규하고 있다. 이를 어길 경우 과징금 등 강력한 제재를 받게 된다. KT 관계자는 "민관합동조사단도 개인정보 유출이 확인된 내용은 없다고 발표했다"며 "KT의 입장도 같다"고 주장했다. 하지만 이는 '아 다르고 어 다른' 교묘한 말장난이라는 비판이 나온다. 조사단이 발표한 것은 '유출이 확인되지 않았다'는 것이지 '유출되지 않았다'는 의미가 아니기 때문이다. 오히려 조사단은 KT가 백신으로 감염 흔적을 지우고 서버를 폐기하는 등 증거를 인멸하려 한 정황을 포착해 추가 조사가 필요하다고 밝혔다. 이런 상황에서 '유출 정황이 없다'는 KT의 주장은 책임을 회피하기 위한 '꼬리 자르기' 시도로 비칠 수밖에 없다. 업계에서는 SKT의 사례를 근거로 KT의 대규모 개인정보 유출 가능성을 기정사실화하는 분위기다. SKT 역시 BPF도어 계열의 악성코드에 감염돼 2324만명의 개인정보가 유출됐고 이로 인해 역대 최대인 1348억원의 과징금을 부과받았다. 서버 내부에 장기간 잠복하며 정보를 빼내는 BPF도어의 특성을 고려할 때 KT만 개인정보 유출을 피했다고 보는 것은 상식에 맞지 않는다는 지적이다. 개인정보위는 KT의 '버티기'에도 불구하고 강도 높은 조사를 예고했다. 개인정보위 관계자는 "이미 불법 펨토셀 사건과 관련해 KT를 조사 중이며 조사관들이 현장에 나가 있다"며 "BPF도어 감염으로 인한 개인정보 유출 여부 역시 당연히 포함해 조사할 것"이라고 밝혔다. 특히 "KT의 신고가 없더라도 인지 조사가 가능하다"고 못 박으며 과기정통부로부터 관련 자료를 모두 공유받았다고 덧붙였다. 결국 KT는 '은폐'와 '증거인멸' 의혹에 이어 '개인정보 유출'이라는 최악의 시나리오까지 마주하게 됐다. 늑장 대응과 거짓 해명으로 일관해 온 KT가 이번 개인정보위의 칼날마저 피할 수 있을지 2300만 SKT 피해자들에 이어 KT 고객들까지 집단소송에 나서는 제2의 '국민적 소송 대란'이 벌어질지 귀추가 주목된다.
2025-11-07 07:48:46
'SKT 개인정보 유출' 1인당 30만원 배상 조정안…최대 7조 배상 '폭탄' [이코노믹데일리] 사상 최악의 개인정보 유출 사태를 일으킨 SK텔레콤에 대해 정부가 '1인당 30만 원 배상'이라는 구체적인 책임을 물었다. 이는 단순한 권고를 넘어 향후 수많은 소송과 분쟁의 기준점이 될 수 있다는 점에서 SK텔레콤의 존립 자체를 위협할 수 있는 '판도라의 상자'가 열렸다는 분석이 나온다. SK텔레콤은 "선제적 보상 노력이 반영되지 않아 아쉽다"는 입장을 내놨지만 2300만 국민의 개인정보를 허술하게 관리한 '원죄' 앞에서 설득력을 얻기는 어려워 보인다. 개인정보보호위원회 산하 개인정보 분쟁조정위원회는 지난 3일 SK텔레콤 개인정보 유출 사건의 분쟁조정 신청인 3998명에게 SK텔레콤이 각각 30만 원의 손해배상금을 지급하라는 내용의 조정안을 의결했다고 4일 밝혔다. 이는 지난 4월부터 접수된 집단분쟁 3건과 개인 신청 731건을 병합 심리한 결과다. 이번 결정의 배경에는 사안의 심각성에 대한 위원회의 깊은 인식이 깔려있다. 앞서 개인정보위 조사 결과 SK텔레콤은 해킹으로 인해 LTE·5G 전체 가입자 2324만4649명의 휴대전화 번호, 가입자식별번호(USIM), 유심 인증키 등 무려 25종의 민감한 개인정보를 유출한 것으로 드러났다. 분쟁조정위는 "이번 유출 사건으로 가입자들이 유출정보 악용으로 인한 휴대폰 복제 피해 불안과 유심 교체 과정에서 혼란과 불편을 겪었고 정신적 손해를 인정해 손해배상금을 결정했다"고 밝혔다. 이는 단순한 정보 유출을 넘어 2차 범죄에 대한 국민적 공포와 일상생활의 불편함까지 배상 범위에 포함해야 한다는 의미다. 이제 공은 SK텔레콤으로 넘어갔다. 분쟁조정은 강제력이 없어 15일 이내에 SK텔레콤이 조정안을 수락해야 효력이 발생한다. 만약 거부할 경우 피해자들은 기나긴 민사소송의 길로 나서야 한다. SK텔레콤의 고민은 깊어질 수밖에 없다. 당장 조정 신청인 약 4000명에게만 배상할 경우 총액은 약 12억원으로 감당할 만한 수준이다. 하지만 이번 조정안을 수용하는 순간 이는 향후 2300만명에 달하는 전체 피해자들의 줄소송과 추가 분쟁조정 신청의 강력한 근거가 된다. 개인정보위 관계자는 "추가 신청이 들어오면 특별한 사유가 없는 한 동일한 결과로 신속히 조정안을 만들 것"이라고 못 박았다. 산술적으로 전체 피해자가 모두 30만 원씩 배상받을 경우 그 총액은 무려 6조9000억원에 달한다. 이는 2024년 SK텔레콤 연간 영업이익(약 1조7000억원)의 4배가 넘는 금액으로 사실상 기업의 존립을 위협하는 '재앙적' 수준이다. 이러한 천문학적인 배상 가능성 앞에서 SK텔레콤은 볼멘소리를 냈다. SK텔레콤 측은 공식 입장을 통해 "회사의 사고수습 및 자발적이고 선제적인 보상 노력이 충분히 반영되지 않아 아쉽다"며 "조정안 수락 여부는 관련 내용을 면밀히 검토한 후 신중히 결정할 것"이라고 밝혔다. 이는 1348억 원이라는 역대급 과징금을 부과받고 사상 첫 분기 적자를 기록한 상황에서 추가적인 대규모 배상은 어렵다는 속내를 내비친 것으로 해석된다. 하지만 이러한 주장은 '어불성설'이라는 비판에 직면한다. SK텔레콤이 말하는 '선제적 보상'은 애초에 기업이 당연히 져야 할 책임을 이행하는 과정일 뿐 배상액을 깎아달라고 흥정할 수 있는 대상이 아니다. 과거 2014년 KT 개인정보 유출 사건 당시 법원이 1인당 10만원의 위자료를 인정한 판례(서울중앙지법 2014가합524022) 등을 고려할 때 이번 30만원이라는 배상액은 결코 과도하다고 보기 어렵다는 것이 법조계의 중론이다. 결국 이번 조정안은 SK텔레콤의 '진정성'을 시험하는 리트머스 시험지가 될 것이다. 눈앞의 손실을 피하기 위해 조정안을 거부하고 수많은 국민을 기나긴 소송전으로 끌고 갈 것인가 아니면 천문학적인 비용을 감수하더라도 국민적 신뢰를 회복하는 길을 택할 것인가. 대한민국 1위 통신사업자의 '책임의 무게'가 그 어느 때보다 무겁게 느껴지는 순간이다.
2025-11-04 15:10:43
티메프 여행상품 피해자 3천여명, 77억원대 집단소송 본격화 [이코노믹데일리] 티몬·위메프(티메프) 여행·숙박상품 결제 피해자 3000여명이 여행사와 전자결제대행사(PG)를 상대로 77억원을 돌려달라고 제기한 집단소송 절차가 추석 연휴 이후 본격적으로 진행된다. 5일 한국소비자원에 따르면 티메프 여행·숙박상품 피해자 3283명은 5개 그룹으로 나눠져 지난 6월 13일부터 7월 22일까지 서울중앙지법에 53개 판매사와 13개 PG사를 상대로 77억2000여만원을 돌려달라는 집단소송을 제기했다. 소비자들은 여행·숙박 상품을 구매한 티메프가 환불능력을 상실한 만큼 계약 당사자인 여행사 등 판매사와 PG사가 연대해 결제금액을 돌려줘야 한다고 주장한다. 여행사와 PG사들은 최근 법원에 답변서를 제출했다. 소비자원은 소송 진행 상황을 모니터링하며 피해자 지원을 이어갈 계획이다. 소비자원 관계자는 "현재 내부 지침에 근거해 운영 중인 소송지원제도가 소비자기본법에 명시되면 예산과 인력 확보가 가능해져 소송지원이 보다 활성화될 것"이라고 밝혔다.
2025-10-05 13:40:52
롯데카드, 누구도 만족 못한 해명·보상...안전 수준은 여전히 불투명 [이코노믹데일리] 롯데카드의 297만명 정보유출 사고로 롯데카드·MBK파트너스에 대한 부실 지적이 쏟아진다. 롯데카드 측은 보안 투자를 강화했다고 해명했지만 피해자들이 납득할만한 근거를 내놓지 못하고 있다. 피해 방지·보상 차원으로 제시한 대응책도 고객 불안 해소에 충분치 않은 수준이다. 이번 롯데카드 해킹 사태는 보안 관리 부실의 결과다. 해킹은 지난달 14일 발생했지만 정황이 발견된 건 26일로 약 2주 동안 고객 정보가 무방비로 유출됐다. 해킹 원인은 지난 2017년 보안 업그레이드 패치 적용 중 자주 사용하지 않던 서버 부문의 패치 누락으로 이는 전형적인 내부 관리 소홀이라고 볼 수 있다. 롯데카드와 대주주 MBK를 둘러싼 보안 투자 지적도 피할 수 없다. 롯데카드는 정보보안 예산·인력을 강화해왔다고 해명했지만 최근 5년간 정보기술(IT) 예산 대비 정보보호 예산 비중은 14.2%에서 9%까지 감소한 것으로 나타났다. 보안 인력도 기존 16명에서 30명까지 늘렸으나 전체 IT 인력대비 비중은 43%에서 20%까지 급감했다. 이는 고객들을 절대 납득시킬 수 없는 해명이다. 피해 대책으로 제시한 무이자 할부·연회비 면제·피해 전액 보상 등도 고객 불안을 잠재울 수 없었다. 주민등록번호와 같은 민감정보 유출은 카드 부정 사용과 같은 금전적 피해 외 다른 피해 위험성도 존재한다. 그럼에도 롯데카드가 제시한 피해자 전액 보상은 금전 피해에만 한정됐다. 무이자 할부·연회비 면제도 피해 고객들의 활용도가 떨어진다. 무이자 할부 서비스를 이용하지 않던 고객, 롯데카드에 신뢰를 잃어 탈회를 결정한 고객들이 받을 수 있는 실질적인 보상은 없는 상황이다. 이미 피해 고객 일부는 법무법인과 함께 집단소송 절차에 돌입했다. 롯데카드에게는 보안 관리를 강화할 기회가 있었다. 앞서 SKT·SGI서울보증 등에서 해킹사고가 발생했을 당시 이를 반면교사 삼아 내부 프로세스 및 서버 보안 검사를 진행했다면 지금과 같은 질타를 받지 않았을 것이다. 롯데카드가 이번 사태의 책임을 다하려면 기존 발표한 보안 투자 강화를 넘어 인프라·인력구조 개선이 필요하다. 이번 사태가 내부 보안 관리 부실로 발생한 만큼 보안 관리 프로세스를 체계화하고 고객들이 명확하게 이해할 수 있도록 알려야 한다. 정부·당국에서는 금융사의 보안 상황을 명확히 알 수 없는 '깜깜이 공시'를 개편해야 한다. 현재 카드사, 은행 등 금융사의 정보 보안 관리가 타 업권 대비, 글로벌 기준 대비 안전한 수준인지 확인할 수 없는 상황이다. 당국은 금융사의 보안 투자 비용·인력 구조·점검 현황 등을 소비자들이 확인할 수 있도록 의무 공시 기준을 강화해야 한다. 이는 소비자가 금융 상품을 결정할 때 유의미한 기업 평가 지표를 제공해 소비자 선택권도 강화하는 길이다.
2025-09-25 10:46:48
롯데카드 정보유출 피해자 집단소송 시동...1인당 위자료 30만원 청구 [이코노믹데일리] 법무법인 지향이 롯데카드에서 발생한 297만명 규모의 고객정보 유출 사태와 관련해 피해자 대리 자격으로 서울중앙지방법원에 1차 손해배상 청구 소송을 제기했다고 24일 밝혔다. 피해자들이 소송 근거로 지적한 사안은 △장기간 보안 취약점 방치 과실 △국제 보안 표준 미준수 △보안 투자 관련 경영상 판단 △사고 후 대응의 부적절성 등이다. 이번 소송에서 법무법인 지향 및 피해자들은 롯데카드에 신용정보법·개인정보보호법상의 '징벌적 손해배상' 책임을 물을 계획이다. 소송 청구 금액은 1인당 위자료 30만원이다. 지난 2014년 국내 카드 3사(KB국민·NH농협·롯데) 정보유출 사고 당시 피해자들은 1인당 10만원의 배상금을 받은 바 있다. 현재 법무법인 지향은 홈페이지를 통해 추가 소송에 참여할 피해자를 모집 중이다. 김묘희 법무법인 지향 변호사는 "이번 사태는 기업이 고객의 신뢰를 배신하고 이윤을 위해 보안을 외면할 때 어떤 사태가 발생하는 지 보여주는 사례"라며 "피해자들의 정신적 고통, 잠재적 위험에 대해 위자료를 우선 청구하고 향후 재판에서 고의성, 피해 규모를 추가로 입증할 것"이라고 말했다.
2025-09-24 15:22:09
롯데카드 해킹사태 고객 불안 심화...피해 고객 4200여명 집단소송 의사 밝혀 [이코노믹데일리] 롯데카드에서 297만명 규모의 개인정보 유출 해킹 사고가 발생하면서 4200여명의 소비자들이 집단소송을 준비하는 등 보안 관리 소홀에 대한 책임론이 더욱 커지고 있다. 22일 업계에 따르면 롯데카드 해킹 사고 피해 고객들은 '롯데카드 개인정보 유출 집단소송 카페'를 통해 집단 소송 참여자를 모집하고 있다. 이날 오전 기준 참여 의사를 밝힌 고객은 약 4200명 규모다. 롯데카드는 지난달 31일 외부 해커가 1.7GB(기가바이트) 분량의 데이터 반출을 시도한 정황을 발견하고 이달 1일 금융당국에 관련 사실을 보고했다. 이후 금융감독원·금융보안원의 현장 검사 결과 기존에 파악됐던 1.7GB보다 훨씬 큰 200GB 규모의 정보 유출 사실이 밝혀졌다. 총 피해 회원 규모는 297만명으로 이 중 지난 7월22일부터 지난달 27일 사이 신규 페이결제·커머스 사이트에 카드 정보를 등록한 고객 28만명은 △CVC △유효기간 △카드번호 등 민감정보가 유출돼 부정 사용 피해 가능성도 있었다. 28만명 고객들이 집단소송 카페에 공유한 해킹피해 안내 메시지에 따르면 이들은 △카드번호 △유효기간 △주민등록번호 △CVC △생년월일 △비밀번호(앞 2자리) 등을 비롯해 13종의 정보가 유출됐다. 롯데카드는 피해 고객들에게 △피해 금액 전액 보상 △10개월 무이자 할부 △카드사용 알림 서비스 △금융피해 보상 서비스 등을 지원하기로 했지만 고객들의 불안은 줄어들지 않는 상황이다. 집단 소송 카페에서는 개인정보 유출 피해자들의 참여 의사·피하 사례를 수집 후 전문 로펌과 연계한 집단 소송 절차를 계획하고 있다. 롯데카드의 해킹 사고 발생 원인 롯데카드와 그 최대 주주 MBK파트너스의 보안투자 미흡이라는 지적도 제기된다. 업계 및 당국에서는 MBK파트너스가 롯데카드 인수 후 단기 실적 상승을 위해 보안 관리 등 장기적인 투자에 소홀했다는 의견이 나오고 있다. 이에 롯데카드·MBK파트너스는 "롯데카드는 매년 정보보안 및 정보·기술(IT) 투자를 꾸준히 확대했다"며 "전체 IT 비용 대비 보안 투자 비중도 10~12% 수준"이라고 해명했지만 전체 IT 인력·비용 대비 투자 비율은 오히려 감소한 것으로 나타났다. 롯데카드가 발표한 정보 보안 투자 비용 및 인력은 MBK의 인수 시점인 지난 2019년 71억4000만원·19명에서 올해 128억1000만원·30명까지 증가했다. 다만 전체 IT 비용·인력 대비 비율은 비용 12%·인력 45%에서 각각 10%·20%까지 감소했다. 특히 인력 비율은 매년 감소해 MBK인수 시점 대비 25%p 줄었다.
2025-09-22 08:45:07
5년간 8854만 건 개인정보 유출…건당 과징금은 고작 '1000원' [이코노믹데일리] 최근 5년간 국내에서 유출된 개인정보가 8854만건에 달하지만 이에 대한 과징금은 유출 건당 평균 1000원 수준에 불과한 것으로 나타났다. SK텔레콤과 KT 등 국가 기간 통신망 사업자마저 대규모 해킹 사태를 겪는 근본적인 원인이 기업들의 보안 불감증을 조장하는 ‘솜방망이 처벌’에 있다는 비판이 거세지고 있다. 22일 국회 정무위원회 소속 더불어민주당 민병덕 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 2021년부터 올해 7월까지 451건의 사고로 총 8854만3000여 건의 개인정보가 유출됐다. 이에 대해 개인정보위가 부과한 과징금과 과태료는 총 902억2612만원. 사건당 평균 제재액은 약 7억600만원 수준이지만 이를 실제 유출된 정보 건수로 나누면 개인정보 1건당 평균 제재액은 고작 1019원에 그친다. ◆ '솜방망이' 과징금, 유럽과 비교해보니 연도별로 살펴보면 유출 건당 제재액은 2021년 41원, 2022년 200원에 불과했다. 2023년 개인정보보호법 개정으로 과징금 부과 기준이 ‘위반행위 관련 매출액’에서 ‘전체 매출액의 3%’ 이내로 강화된 이후 제재액이 다소 늘었지만 여전히 글로벌 기준에는 한참 못 미친다는 지적이다. 유럽연합(EU)의 일반개인정보보호법(GDPR)은 중대한 위반 시 전년도 전 세계 매출액의 4% 또는 2000만 유로(약 328억원) 중 더 큰 금액을 과징금으로 부과한다. 실제로 아마존은 2021년 GDPR 위반으로 룩셈부르크 당국으로부터 7억4600만 유로, 당시 환율로 약 1조2252억 원이라는 천문학적인 과징금을 부과받은 바 있다. 국내 기업이 보안에 수백억을 투자하기보다 사고 후 수십억 과징금을 내는 게 더 이득이라는 ‘왜곡된 비용 계산’을 하는 이유가 여기에 있다. 최근 SK텔레콤의 대규모 유심 정보 유출에 이어 KT에서 ‘가짜 기지국’을 통한 개인정보 유출 및 소액결제 피해가 발생하면서 현행 정보보호 규제의 실효성에 대한 논란은 정점에 달하고 있다. 민병덕 의원은 “최근 SK텔레콤 유심(USIM) 정보 유출에 이어 KT에서도 개인정보 유출로 소액결제 피해가 발생하면서 ‘정보보호 규제’의 실효성 논란이 커지고 있다”며 “GDPR 수준의 과징금 부과와 함께 집단소송제·징벌적 손해배상제 도입 등 강력한 제재 수단이 필요하다”고 강조했다. 정부가 뒤늦게 ‘징벌적 과징금’ 도입 검토 등 강경 대책을 예고했지만 기업들이 보안을 비용이 아닌 ‘생존을 위한 투자’로 인식하게 만들기 위해서는 국민의 피해 규모에 상응하는 실질적이고 강력한 제재가 시급하다는 목소리가 높아지고 있다.
2025-09-22 08:29:40

12

많이 본 뉴스

영상

Youtube 바로가기

오피니언

[기자수첩] 미국의 中 바이오 기업 견제...기회는 누구에게 향하는가

[기자수첩] 미국의 中 바이오 기업 견제...기회는 누구에게 향하는가