26일 관련업계에 따르면 최근 G마켓에서 구매한 미사용 상품권이 사용 완료됐거나 간편 결제 서비스를 통해 무단으로 결제 시도가 이뤄졌습니다.

 

해킹은 외부에서 해커의 침투로 시스템에 공격이 가해지고, 정보가 탈취당했을 때를 말합니다. G마켓 측은 "시스템의 침투 부분에 대해 해킹 방어 시스템을 24시간 가동하고 있다"라며 "별도로 보고된 부분이 없다"고 말했습니다.

 

이어 "G마켓 사이트를 통한 개인정보 유출 가능성은 없다"라며 "아이디와 패스워드를 도용한 정황으로 보고 있다"라고 설명했습니다.

 

지난해 8월 샤넬코리아는 고객의 개인정보를 보관하는 데이터베이스가 해킹 공격을 받아 고객의 이름과 전화번호, 생일 등의 정보가 유출됐습니다. 이에 샤넬코리아는 과징금 1억2000여만원 처분을 받았습니다. 

 

개인정보보호위원회는 지난해 10월27일 전체 회의를 열고 샤넬코리아 등 9개 사업자의 개인정보보호 법규 위반행위에 대한 제재 처분을 심의 의결했습니다. 샤넬코리아는 개인정보 처리시스템에 접속할 수 있는 관리자 계정의 비밀번호를 쉽게 추측할 수 있도록 설정하는 등 충분한 보호 조치를 하지 않은 것으로 나타났습니다.

 

 

최경진 가천대 법학과 교수(개인정보보호법학회장)는 "유통가에서 고객들에게 서비스를 제공할 때 개인정보가 유출되거나 쉽게 침해될 수 있을 부분에 대해 예측 내지는 사전에 검토해보는 과정을 거쳐야 한다"라며 "프라이버시 바이 디자인(PbD, Privacy by Design)을 설계해야 한다"라고 조언했습니다.

 

최 교수는 "pbD란 기기나 앱 또는 서비스의 기획부터 폐기까지 전 주기에 걸쳐 프라이버시를 고려한 기술·정책을 시스템 엔지니어링에 반영토록 요청하는 접근법"이라며 "향후 기업들이 개인정보 중심 설계를 기반으로 신경 쓸 필요가 있다"라고 말했습니다.

 

 

그간 업계를 막론하고 개인정보 보호의 중요성은 날로 커졌습니다. 이 때문에 개인정보 보호 이슈를 100% 담보하겠다고 보는 건 현실적이지 않습니다. 결과적으로 기업들이 투자할 때 개인정보 보호와 이에 대한 투자 비용 및 효과를 적절히 분석하고, 적정 수준을 찾아가는 것이 중요합니다. 구체적으로는 기술과 전문인력의 확충, 경영진의 마인드가 필요합니다. 경영진에서 개인정보 보호와 관련돼 개인정보 중심 설계가 반영될 수 있도록 체계를 만드는 게 중요합니다.

 

염흥열 순천향대학교 정보보호학과 교수도 "개인정보가 담긴 데이터베이스가 외부의 공격에 완변할 수 있는 기술적인 보호조치를 취할 필요가 있다"라며 "대규모의 개인정보 처리자들은 개인정보가 유출됐을 시 유관 기관(개인정보호위원회, 한국인터넷진흥원)에 신고해야 한다"라고 설명했습니다.

 

염 교수는 "유통 기업들이 정보 주체로부터 개인정보를 수집하고 이를 기반으로 서비스를 제공한다"라며 "기업에선 제3의 심사기관이 인증하는 제도인 정보보호 및 개인정보보호관리체계(ISMS-P)를 받을 필요가 있다"라고 덧붙였습니다.

 

앞서 정무위원회 소속 양정숙 의원은 일정 규모 이상의 개인정보 처리자들은 ISMS-P를 받아야 하는 법안을 제출했습니다. 정보 보호 관리 체계(ISMS)와 ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 정보통신망의 관리적·기술적·물리적 보호조치 및 개인정보 전반에 대한 조치가 관련 법에 부합하는지를 인증하는 제도입니다.

 

다만 ISMS와 ISMS-P 인증은 법적 제재를 받는 의무 사항은 아닙니다. 염 교수는 이에 대해 "면세점의 경우 외국 사람들의 개인 정보를 다루고 있다"라며 "국내법도 중요하지만 국제표준 ISO27701에 대한 인증을 받을 필요가 있다"라고 설명했습니다.

 

고은하 기자 eunha@etomato.com