개인정보 유출

개인정보 유출은 기업이나 공공기관이 수집하여 관리하던 개인의 신상 정보가 관리 범위를 벗어나 외부로 빠져나가는 것을 말한다. 유출 사고는 단순한 정보 노출에 그치지 않고, 기업의 신뢰도 하락과 법적 책임, 정보 주체의 사생활 침해 등 심각한 사회적 문제를 야기한다.

개인정보 유출은 기술적 결함과 관리적 부주의가 결합하여 발생하는 경우가 많다.

• 인증 체계 취약점: 정상적인 로그인 절차 없이도 계정에 접근할 수 있는 인증 취약점을 방치할 경우 공격자의 표적이 된다.
• 내부자 및 퇴사자 관리 소홀: 퇴사자가 재직 당시 관리하던 서명키나 인증 수단을 회수하지 않아 이를 악용한 무단 접속이 발생할 수 있다.
• 데이터 암호화 미비: 로그 파일 등에 주민등록번호와 같은 민감 정보를 암호화하지 않은 평문 형태로 기록하는 행위는 유출 시 피해를 극대화한다.
• 로그 및 모니터링 부족: 비정상적인 대량 조회나 접근이 발생함에도 이를 실시간으로 탐지하지 못하는 관리 부실이 원인이 된다.

쿠팡 개인정보 유출 사고

과학기술정보통신부의 조사 결과에 따르면, 쿠팡에서 전 직원에 의해 약 3,367만 건의 개인정보가 유출되는 사고가 발생하였다. 공격자는 퇴사 후에도 남겨진 서명키를 이용해 전자 출입증을 위조하고 인증 체계를 통과하였다. 사고는 약 5개월 동안 인지되지 못했다.

롯데카드 주민등록번호 유출 사고

개인정보보호위원회는 약 45만 명의 주민등록번호가 유출된 롯데카드에 대해 과징금과 과태료를 부과하였다. 해당 사고는 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호를 암호화하지 않은 평문으로 기록하는 등 안전조치 의무를 위반하여 발생하였다.

개인정보 유출 사고가 발생하면 관련 법령에 따라 엄중한 처벌이 내려진다.

1. 과징금 및 과태료 부과: 개인정보 보호법 및 신용정보법 위반 여부에 따라 수십억 원 이상의 과징금이 부과될 수 있다. 롯데카드의 경우 약 96억 2,000만 원의 과징금이 부과된 사례가 있다.
2. 유출 신고 의무: 개인정보 처리자는 유출 사실을 인지한 후 지체 없이 정보 주체에게 알리고 관련 기관에 신고해야 한다. 신고 의무 위반 시 별도의 과태료가 부과된다.
3. 정부 조사: 과학기술정보통신부와 개인정보보호위원회는 민관합동조사단을 구성하여 사고 원인을 분석하고 재발 방지 대책을 마련한다.