온라인 명품 플랫폼 ‘발란’이 개인정보 보호법을 어긴 죄로 억대 과징금을 문다. 개인정보보호위원회는 10일 전체회의를 열고 발란에 과징금 5억1259만원과 과태료 1440만원을 부과했다. 발란은 해커 공격으로 지난 3월과 4월 두 차례에 걸쳐 개인정보(이름⋅주소⋅휴대전화번호) 약 162만건을 유출했다. 소셜로그인 기능 오류로 이용자 식별정보가 중복되면서 다른 이용자에게 개인정보가 노출되는 사고도 발생했다. 위원회에 따르면 발란은 미사용 관리자 계정을 지우지 않고 방치했다. 개인정보처리시스템에 접근하는 인터넷주소(IP)도 제한하지 않는 등 보호조치 의무를 소홀히했다. 해커는 미사용 관리자 계정을 도용해 해킹을 시도한 것으로 알려졌다. 발란은 이용자에게 개인정보 유출 사실을 통지할 때 유출된 정보 항목과 유출 시점도 누락하는 등 개인정보 보호법을 위반했다. 현행법상 개인정보처리자는 개인정보 침해피해를 막기 위한 보호조치를 취해야 한다. 침해피해가 발생하면 대상이 된 개인정보 항목과 시점 등을 포함한 정보를 24시간 내 피해자에게 통지해야 한다. 개인정보위는 “온라인 쇼핑몰, 특히 웹호스팅 서비스를 이용하는 쇼핑몰을 겨냥한 해킹 공격이 지속 발생하고 있다”라며 “쇼핑몰 창업 초기엔 이용자 수 확보, 투자유치 등 규모 확장에 집중하기 쉽지만 이용자 개인정보 보호에도 관심을 갖고 보안 취약점을 주기적으로 점검하는 등 보호조치 강화에도 힘써야 한다”고 강조했다. 발란 해킹사건 피해자는 개인정보분쟁조정위원회 홈페이지로 분쟁조정을 신청할 수 있다. 송금종 기자 기사모아보기 ▲ 삼성전자는 홈페이지 공지를 통해 2022년 7월 말 승인을 받지 않은 제3자가 미국 내 삼성 시스템 일부로부터 정보를 취득했다고 밝혔다. 사진은 캘리포니아 산호세에 위치한 삼성전자 미국법인 본사. [비즈니스포스트] 삼성전자가 미국에서 일부 고객들의 개인정보가 유출되는 사고를 당했다. 5일 삼성전자가 미국 홈페이지에 공지한 내용에 따르면 올해 7월 말 승인을 받지 않은 제3자가 미국 내 삼성 시스템 일부로부터 정보를 취득했다. 삼성전자는 “2022년 8월 내부 조사를 통해 일부 고객들의 개인정보에도 영향이 있었음을 확인할 수 있었다”며 “그 후 침해된 시스템들을 안전하게 보호하기 위한 조치를 취했고 외부의 사이버 보안 전문업체와 사법기관들과 협력하고 있다”고 밝혔다. 그러면서 “고객의 이름, 연락처, 인적정보, 생년월일, 제품등록번호 등의 개인정보가 영향을 받았지만 사회보장번호나 신용카드, 직불카드의 번호는 안전한 것으로 확인됐다”며 “이번 침해사고로 유출된 정보는 고객별로 다르며 현재 고객들에게 이러한 사실을 고지했다”고 덧붙였다. 삼성전자는 “삼성에서 보안은 가장 중요한 가치이자, 저희 제품과 서비스에 대한 고객들의 신뢰를 높은 가치로 여기고 있다"며 "업계 내 최고 전문가들과 협력해 시스템을 보강할 것이며 고객들의 개인정보도 더 강력하게 보호하겠다”고 강조했다. 다만 고객 정보가 얼마나 유출됐는지, 해커들이 어떤 시스템에 침입했는지, 취약점 유무나 공격 방식, 해커들의 협박 여부 등과 관련해서는 구체적인 내용을 밝히지 않았다. 삼성전자는 올해 3월에도 데이터 유출 사고를 겪었다. 외국 해커그룹 랩서스(LAPSUS$)는 2022년 3월5일 삼성전자 서버를 해킹했다고 밝히며 190GB 용량의 압축된 해킹 파일을 공유 프로그램 토렌트에 올렸다. 압축을 풀면 총 용량은 402GB였다. 해킹된 파일에는 갤럭시S22부터 이전 모델들까지 삼성전자의 모든 스마트폰 소스코드가 들어있었다. 소스코드는 프로그램의 설계도로 소스코드만 있으면 똑같은 프로그램을 만들 수 있다. 유출된 파일에는 삼성전자 MX사업부 직원들의 발표, 실험 자료와 경쟁사 제품의 성능평가 자료도 포함돼 있었다. 나병현 기자 국민권익위원회가 취급하는 모든 개인정보는 개인정보보호법 등 관련 법령상의 개인정보보호 규정을 준수하여 이용자의 개인정보 보호 및 권익을 보호하고 개인정보와 관련한 이용자의 고충을 원활하게 처리할 수 있도록 다음과 같은 처리방침을 두고 있습니다.
비공개대상 정보기준 제2조 개인정보의 처리, 항목 및 보유기간
제3조 개인정보의 제3자 제공에 관한 사항
제4조 개인정보처리의 위탁에 관한 사항
제5조 정보주체와 법정대리인의 권리·의무 및 행사방법에 관한 사항
제6조 개인정보의 열람청구에 관한 사항
제7조 개인정보의 파기
제8조 개인정보 자동 수집 장치의 설치 · 운영 및 그 거부에 관한 사항
제9조 개인정보의 안전성 확보조치에 관한 사항
제10조 개인정보 보호책임자
개인정보 보호책임자
개인정보 보호담당자
제11조 정보주체의 권익침해에 대한 구제방법
제12조 개인정보 처리방침의 변경
[이전 개인정보 처리방침 보기]
|