Dtalker

편집자주 - 네이트 해킹 사건에 대해 좀 더 본질적인 문제에 접근하고자 한국인터넷진흥원(KISA)의 공식적인 입장과 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 직접 확인해야 했기 때문에 포스팅이 늦어질 수 밖에 없었음을 미리 밝힌다. 현재 네이트온 해킹에 관련해 한국인터넷진흥원에 문의를 해둔 상태지만 아직 공식적인 답장이 없다. 답변이 오는 데로 공개하도록 하겠다.

 

스마트폰 메신저 서비스를 야심차게 준비했던 네이트에 먹구름이 짙어지고 있다. 그 이유는 약 네이트(3500만명) 및 싸이월드(2500)의 가입자 정보가 유출된 것. 또 네이트온톡에 심각한 보안취약점이 있는 것으로 확인되고 있어 보이스 피싱에 악용될 수 있다는 지적이 제기되는 등 심각한 상황으로 치닫고 있다. SK컴즈는 네이트온톡을 공개하며 모바일 메신저 시장의 재도약을 꿈꾸었지만 이번 사건으로 큰 타격을 입을 것으로 보인다.

 

현재 개인정보 유출로 인해 기업 신뢰도가 추락했고, 벌써부터 SNS와 커뮤니티를 통해 네이트 회원 탈퇴 움직임이 나타나고 있다. 또한 카카오톡과 마이피플 각각 2000, 1000만 가입자를 돌파했다는 소식은 네이트온톡의 추격의지를 꺾기 충분해 보인다. 이런 가운데 모바일 메신저 서비스에서 카카오톡과 마이피플의 틈바구니에서 자리 잡기 어려울 것이라는 조심스러운 전망도 나오고 있는 상황이다.


여러분의 추천 한방이 저에겐 큰 힘이 된답니다~ ^^

 

안전불감증이 극에 달한 네이트 해킹사건

업계 3위의 대형 포털 사이트가 해킹당했다는 사실은 믿기지가 않는다. 개인정보 유출사건은 2008년 옥션 해킹 1081만명을 시작으로 언론의 큰 집중을 받았고 같은 해 하나로텔레콤( SK브로드밴드) 600만명 정보유출, GS 칼텍스 정보유출 1107만명, KT 11만여건의 고객정보 텔레마케팅 업체 제공(시민단체가 고발조치), 다음 53만명 이메일 및 카페 목록 노출, 2010년 국내 유명 백화점 사이트 등 인터넷 회원 650만명의 고객정보 유출, 신세계백화점 및 아이러브 스쿨 등 25개 사이트에서 2000만명의 개인정보 유출 등 개인정보 유출 문제가 제기되어 왔지만 후속조치에 대해서 이슈가 된 적이 단 한번도 없었다.

 

그냥 사과문을 게재하고 추이를 지켜보다 소비자들이 개인정보 유출이 불복해 집단소송을 걸어도 시간을 끌면서 자신(기업)들이 유리해지기만을 기다려왔다. 그리고 자신(기업)들도 피해자라며, 목소리를 높인 결과, 피해자가 아닌 기업들의 승리로 끝나면서 다람쥐 쳇바퀴 돌 듯 언제나 똑같은 상황이 연출되고 있다. 이는 전형적인 탁상공론의 정책과 기업의 보안의식 부족으로 나타나는 안전불감증이 부른 인재(人災)사고라고 할 수 있다.

 

특히 정부(방송통신위원회)는 개인정보 유출에 대해 이슈가 있을 때마다 개인정보 유출에 따른 이용자 피해 최소화 조치, 개인정보 해킹 및 불법매매 특별단속, 개인정보 보유업체 실태점검, 개인정보 DB 보안 강화, 개인정보보호법 제정 추진, 개인정보보호 교육 홍보 등의 추진과제 등 다양한 대책들을 쏟아냈지만 생색내기라고도 할 수 없는 수준이다.

 

이렇게 주장 할 수 있는 이유는 암암리에 개인정보 공유를 기업 마케팅 제휴라는 이름 하에 이뤄지고 있는 부분을 이유로 들고 싶다. 지금도 수많은 기업들이 마케팅 제휴를 통해 계열사, 제휴사에 개인정보를 제공하고 있고, 사이트 가입시 이용약관에 동의하지 않으면 회원가입을 할 수 없도록 이를 제한하고 있기 때문이다.

 

이런 일련의 상황은 마케팅 제휴라는 이름 하에 기업간 개인정보를 쉽게 공유할 수 있는 구조적인 취약점과 이를 방관하는 듯한 정부의 태도가 바뀌지 않는다면 되풀이 될 수 밖에 없다. 이를 해결하기 위해서는 기업과 정부가 적극적으로 나서야 하지만 안전불감증이 극에 달한 시점에서 쉽게 해결될 기미는 보이지 않고 있다.


 

옥션 해킹 사건으로 여러 번 개정된 정보보호 등에 관한 법률

이미 법률적인 문제는 20082월에 일어난 옥션 해킹사고와 4월 하나로텔레콤으로 인해 방송통신위원회가 2008 6 13정보통신망 이용촉진 및 정보보호 등에 관한 법률을 개정하면서 꾸준히 보완되어 왔다.

 

새롭게 개정된 법률에는 인터넷 가입 시 원치 않아도 동의해야만 했던 개인정보 제 3자 제공란에 동의를 하지 않아도 사이트 가입이나 인터넷 가입을 할 수 있도록 한다는 내용이 포함되어 있다. 아래 항목은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 중 개인정보 보호와 관련된 것들만 정리한 것이다.

 

23(개인정보의 수집 제한 등) 2항 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스의 제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다 [전문개정 2008.6.13]

 

23조의2(주민등록번호 외의 회원가입 방법) ① 정보통신서비스 제공자로서 제공하는 정보통신서비스의 유형별 일일 평균 이용자 수가 대통령령으로 정하는 기준에 해당하는 자는 이용자가 정보통신망을 통하여 회원으로 가입할 경우에 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법(이하 "대체수단"이라 한다)을 제공하여야 한다. <개정 2011.4.5>

  1항에 해당하는 정보통신서비스 제공자는 주민등록번호를 사용하는 회원가입 방법을 따로 제공하여 이용자가 회원가입 방법을 선택하게 할 수 있다.

  [본조신설 2008.6.13]

 

3절 이용자의 권리

30(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.

  이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.

  1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보

  2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황

  3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황

  정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다.

  정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.

  정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.

  정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.

  영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 "정보통신서비스 제공자등" "영업양수자등"으로 본다.

[전문개정 2008.6.13]

 

32(손해배상) 이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

  [전문개정 2008.6.13]

 

4절 개인정보분쟁조정위원회

33(개인정보분쟁조정위원회의 설치 및 구성) ① 개인정보에 관한 분쟁을 조정하기 위하여 개인정보분쟁조정위원회(이하 "분쟁조정위원회"라 한다)를 둔다.

  분쟁조정위원회는 위원장 1명을 포함한 15명 이내의 위원으로 구성하며, 그중 1명은 상임으로 한다.

  위원은 다음 각 호의 어느 하나에 해당하는 자 중에서 대통령령으로 정하는 바에 따라 행정안전부장관이 임명하거나 위촉한다. 이 경우 다음 각 호의 어느 하나에 해당하는 자가 1명 이상 포함되어야 한다.

  1. 대학이나 공인된 연구기관에서 부교수급 이상 또는 이에 상당하는 직에 있거나 있었던 자로서 개인정보보호 관련 분야를 전공한 자

  2. 4급 이상 공무원(고위공무원단에 속하는 일반직공무원을 포함한다) 또는 이에 상당하는 공공기관의 직에 있거나 있었던 자로서 개인정보보호 업무에 관한 경험이 있는 자

  3. 판사·검사 또는 변호사의 자격이 있는 자

  4. 정보통신서비스 이용자단체의 임원직에 있거나 있었던 자

  5. 정보통신서비스 제공자 또는 정보통신서비스 제공자단체의 임원직에 있거나 있었던 자

  6. 「비영리민간단체 지원법」 제2조에 따른 비영리민간단체에서 추천한 자

  위원의 임기는 3년으로 하고, 연임할 수 있다.

  위원장은 위원 중에서 행정안전부장관이 임명한다.

  분쟁조정위원회의 업무를 지원하기 위하여 제52조에 따른 한국인터넷진흥원(이하 "한국인터넷진흥원"이라 한다)에 사무국을 둔다. <개정 2009.4.22>

  [전문개정 2008.6.13]

 

49조의2(속이는 행위에 의한 개인정보의 수집금지 등) ① 누구든지 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하여서는 아니 된다.

  정보통신서비스 제공자는 제1항을 위반한 사실을 발견하면 즉시 방송통신위원회나 한국인터넷진흥원에 신고하여야 한다. <개정 2009.4.22>

  방송통신위원회나 한국인터넷진흥원은 제2항에 따른 신고를 받거나 제1항을 위반한 사실을 알게 되면 다음 각 호의 필요한 조치를 하여야 한다. <개정 2009.4.22>

  1. 위반 사실에 관한 정보의 수집·전파

  2. 유사 피해에 대한 예보·경보

  3. 정보통신서비스 제공자에 대한 접속경로의 차단요청 등 피해 확산을 방지하기 위한 긴급조치

  [전문개정 2008.6.13]

 

그리고 KISA에서는 정보통신망법 개정에 따른 개인정보 활용 동의 절차 개선 안내문 자료를 자료실에서 PDF 파일로 제공하고 있다. PDF 파일에는 신규 회원 가입 등 개인정보 최초 수집시 조치사항과 기존 회원에 대한 조치 사항 등을 담고 있다.

 

정보통신망법 개정에 따른 개인정보 활용 동의 절차 개선 안내문 자료 (하단 링크 참조)

http://www.kisa.or.kr/public/major/policyView.jsp?b_No=45&d_No=110&searchType=total&searchKeyword=&pageIndex=1



 

아직도 허점이 많은 정보보호 등에 관한 법률

7 6일부터 새롭게 적용된 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 시행하고 있어 주요 포털 사이트를 비롯해 오픈마켓, 홈쇼핑 등을 살펴봤다.
 

해킹 사건을 당한 네이트를 비롯해 네이버, 다음 등 주요 포털 사이트는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 23 2항을 위반하고 있음을 확인했다.


개인정보 수집 및 이용안내를 선택하지 않으면 포털 사이트에 가입되지 않게 조치해놓고 의무적으로 개인정보 수집 및 이용안내에 동의해야지만 사이트 가입이 이뤄질 수 있게 사이트 구축을 해놓은 것이다.

 

23(개인정보의 수집 제한 등) 2항 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스의 제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다 [전문개정 2008.6.13]


 

 

이 규정을 위반할 시 해당 온라인 사업자에게는 1천만원이라는 과태료가 부과된다는 보도자료를 지난 4월에 받았는데, 직접 확인해본 결과 76(과태로) 1항을 보면 '1. 23조제2(67조에 따라 준용되는 경우를 포함한다)을 위반하여 서비스의 제공을 거부한 자' 3천만원 이하의 과태료를 부과한다고 명시되어 있었다.

 

하지만 네이트, 네이버, 다음과 같은 온라인 사업자에게 과태료가 부과되지 않았음을 알 수 있었다. 그렇지 않았다면 과태료를 부과하고 행정적 제재조치가 취해졌을 텐데 아직까지 기존의 가입 시스템을 유지하고 있다는 것은 KISA가 이런 부분을 전혀 파악하지 못하고 있었음을 알려준다.

 

그리고 영세 사업자에게는 큰 금액일 수 있으나 일정 규모 이상의 사업자에게는 그리 큰 금액이 아니다. 오히려 회원 가입자가 많고 개인정보를 매매하는 곳이 늘어날수록 개인정보 판매이익이 급증하는데, 이 때 과태료가 부과되더라도 이익이 남을 수 있다는 계산을 하면 이윤을 추구하는 기업이 어떤 행동을 선택할지 쉽게 예측 할 수 있다. 더불어 가입자수와 회원정보 공유를 무기로 제휴사와의 협상테이블에서 우위를 점할 수 있다는 점도 기업이 개인정보 제 3자 제공을 포기할 수 없게 만드는 요인으로 떠오른다.

 

그리고 개인정보를 매매한 부당 수익에 대해서 전액 환수가 안될뿐더러 솜방망이 처벌로 인해 법적 규제력과 강제력은 미약한 모습을 보여 아직도 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 허점이 있음을 시사하고 있다. 이를 개선하기 위해서는 개인정보 매매를 위한 부당 수익 몰수와 함께 불법적인 행위에 대해 과태료를 부과하고 처벌 기준을 강화하는 것이 필요하다.


IT에 관심 있으시다면 아래 ‘디토커’ 페이스북 페이지 좋아요를 클릭해주시면 
빠른 IT 정보와 훨씬 재미있는 IT 이야기를 페이스북에서 받아 보실 수 있습니다!



자동차에 관심 있으시다면 아래 ‘카스토리’ 페이스북 페이지 좋아요를 클릭해주시면 
빠른 자동차 정보와 훨씬 재미있는 자동차 이야기를 페이스북에서 받아 보실 수 있습니다!


  • 다음뷰
  • 믹시
  • 올블로그
  • 오픈캐스트
  • Feedburner
  • 야후
  • 구글
  • RSS
  • 유투브
  • 페이스북
  • 트위터
  • 미투데이
  • 다음요즘
  • 구글플러스

댓글을 달아 주세요

  1. 지나가다  수정/삭제  댓글쓰기

    정통망법 제23의2 주민등록번호 외 다른 가입방법의 제공 조항은 아이핀을 통한 가입방법을 제공하므로 법령 위반이 아닙니다. KISA에서 아이핀 가입방법이 제공됨에도 불구하고 위반이라 했다면 유권 해석이 잘못 된겁니다 ㅜ

    2011.08.01 12:51

최근에 올라온 글

David.Oh's Blog is powered by Tistory. Designed by Qwer999. Supported by TNM Media.