개인정보 유출

개인정보 유출은 기업이나 공공기관이 수집하여 관리하던 개인의 신상 정보가 관리 범위를 벗어나 외부로 빠져나가는 것을 말한다. 유출 사고는 단순한 정보 노출에 그치지 않고, 기업의 신뢰도 하락과 법적 책임, 정보 주체의 사생활 침해 등 심각한 사회적 문제를 야기한다. 특히 대규모 플랫폼에서의 유출은 보이스피싱이나 명의 도용과 같은 2차 범죄의 토대가 될 수 있어 국가적 차원의 엄격한 관리가 요구된다.

개인정보 유출은 기술적 결함과 관리적 부주의가 결합하여 발생하는 경우가 많다.

• 인증 체계 취약점: 정상적인 로그인 절차 없이도 계정에 접근할 수 있는 인증 취약점을 방치할 경우 공격자의 표적이 된다.
• 내부자 및 퇴사자 관리 소홀: 퇴사자가 재직 당시 관리하던 서명키나 인증 수단을 회수 또는 폐기하지 않아 이를 악용한 무단 접속이 발생할 수 있다.
• 데이터 암호화 미비: 로그 파일 등에 주민등록번호와 같은 민감 정보를 암호화하지 않은 평문 형태로 기록하는 행위는 유출 시 피해를 극대화한다.
• 로그 및 모니터링 부족: 비정상적인 대량 조회나 접근이 발생함에도 이를 실시간으로 탐지하지 못하는 관리 부실이 원인이 된다.

쿠팡 개인정보 유출 사고

과학기술정보통신부와 민관합동조사단의 조사 결과에 따르면, 쿠팡에서 전 직원에 의해 약 3,367만 건의 개인정보가 유출되는 사고가 발생하였다. 공격자는 퇴사 후에도 폐기되지 않은 JWT(JSON Web Token) 서명키를 이용해 전자 출입증을 위조하고 인증 체계를 통과하였다. 사고는 약 7개월 동안 인지되지 못했으며, 조사단은 공격자가 타인의 정보를 무단 조회한 행위 자체를 유출로 판단하였다.

롯데카드 주민등록번호 유출 사고

개인정보보호위원회는 약 45만 명의 주민등록번호가 유출된 롯데카드에 대해 과징금과 과태료를 부과하였다. 해당 사고는 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호를 암호화하지 않은 평문으로 기록하는 등 안전조치 의무를 위반하여 발생하였다.

유출된 개인정보는 다크웹 등에서 거래되어 2차 피해를 유발한다. 해커는 탈취한 정보를 악용해 보이스피싱과 같은 맞춤형 공격을 가하거나, 여러 사이트에 동일한 계정 정보를 사용하는 이용자를 겨냥해 '크리덴셜 스터핑(무작위 대입)' 공격을 시도할 수 있다. 또한 공공시스템의 경우 관리자 권한이 탈취될 경우 국가적 규모의 정보 유출로 이어질 위험이 있다. 실제로 공공시스템 모의해킹 결과, 중요 정보가 암호화되지 않아 관리자 권한 획득 가능성이 확인되기도 하였다.

개인정보 유출 사고가 발생하면 관련 법령에 따라 엄중한 처벌이 내려진다.

1. 과징금 및 과태료 부과: 개인정보 보호법 및 신용정보법 위반 여부에 따라 수십억 원 이상의 과징금이 부과될 수 있다. 롯데카드의 경우 약 96억 2,000만 원의 과징금이 부과된 사례가 있다.
2. 유출 신고 의무: 개인정보 처리자는 유출 사실을 인지한 후 지체 없이 정보 주체에게 알리고 관련 기관에 신고해야 한다. 신고 의무 위반이나 자료 보존 위반 시 별도의 과태료가 부과된다. 쿠팡의 경우 신고 지연 등으로 3,000만 원의 과태료가 부과되었다.
3. 정부 조사: 과학기술정보통신부와 개인정보보호위원회는 민관합동조사단을 구성하여 사고 원인을 분석하고 재발 방지 대책을 마련한다.