해킹으로 인해 개인정보가 유출된 숙박앱 여기어때는 정부당국으로부터 어떤 제재를 받게 될까?
최근 여기어때가 해킹되면서 확인된 것만 4천여명의 고객정보가 유출됐다. 공격자들은 이러한 정보를 악용해 고객들에게 대량으로 불쾌한 문자를 발송하고, 회사 측에는 더 많은 정보를 공개하겠다며 금전을 요구한 것으로 확인됐다.
아직은 미래창조과학부, 방송통신위원회, 한국인터넷진흥원(KISA), 경찰청 등 관계부처가 합동조사 중인 만큼 정확한 해킹경로나 수법에 대해서는 밝혀지지 않았다.
다만 여기어때 회원들이 이메일, 연락처, 이름에 더해 어느 지역에서 어떤 곳에 숙박했는지에 대한 정보까지 유출된 탓에 "인증완료, OOO님, X은 잘 하셨나요", "XX님 X월X일 XX에서 황홀한 X하셨나요"라는 등 협박문자를 받은 사실이 알려진 만큼 일정 수준의 방통위 제재는 피할 수 없게 됐다.
■ 개인정보 유출된 여기어때, 제재 수위는 어느 정도?
방통위가 취할 수 있는 최대 조치는 관련 매출의 3%까지 과징금을 부과하는 것이다. 2천만여명의 개인정보가 유출됐던 인터파크는 지난해 12월 방통위 전체회의를 거쳐 44억8천만원이라는 과징금 철퇴를 맞았었다.
정보통신망법 제64조의3에 따르면 방통위는 개인정보유출 등 사고가 발생했을 때 인터넷 서비스 사업자에게 관련 매출액의 최대 3%까지 과징금을 부과할 수 있다고 명시했다. 여기서 관련 매출액은 같은 법 시행령 제69조의2에 따라 직전 3개 사업연도의 연평균 매출액을 말한다.
여기어때 해킹사건의 경우 같은 법 제28조 제1항에 따라 개인정보보호를 위한 기술적, 관리적 보호조치를 제대로 취했느냐에 따라 과징금을 부과할지, 하면 얼마나 하게 될지 여부가 결정난다.
법무법인 민후 김경환 대표 변호사는 "개인정보가 유출됐으니 이와 관련된 기술적, 관리적 조치를 다 했는지를 살펴봐야할 것"이라며 "처음 해킹 사건을 겪었다는 점은 제재 감경사유가 되겠지만 민감한 정보가 유출됐다는 사실은 가중사유가 된다"는 의견을 밝혔다.
지난해 여기어때 매출은 250억원 수준이다. 만약 방통위가 최대 규모 과징금을 부과할 경우 7억5천만원의 과징금을 물게 된다. 그러나 인터파크 건을 고려하면 현실적으로 이 정도 수준까지 제재가 이뤄질 가능성은 높지 않은 편이다.
조사결과에 더해 또 다른 변수는 여기어때가 지난해 개인정보보호협회로부터 받은 e프라이버시 인증을 올해는 갱신하지 않았고, 정보보호관리체계(ISMS) 인증도 받지 않았다는 사실이다. 여러 보안인증을 받았다고 해서 해당 서비스가 높은 보안성을 보장하지는 않지만 ISMS의 경우 인터넷 사업자들에게 필요한 최소한의 보안사항을 준수할 것을 요청하고 있는 만큼 정보통신망법 상 기술적, 관리적 보호조치를 다했는지에 대한 참고사유가 될 수 있다.
■ 방통위 행정공백, 여기어때 제재에 영향 주나
대통령 탄핵으로 황교안 권한대행이 방통위원장을 임명하는 것이 사실상 어려운 상황이 되면서 방통위 행정공백이 현실화 되고 있다.
이 때문에 여기어때 개인정보유출 건에 대해 방통위의 심의나 제재가 지연될 수 있다는 우려가 나온다.
합의제 기구인 방통위는 의결정족수인 3인 이상 위원이 참석해야만 회의 진행이 이뤄진다. 그러나 당장 최성준 위원장의 임기가 다음 달 7일 끝나게 되면, 의결정족수를 채우지 못해 안건 처리가 불가능하다.
인터파크의 해킹 사태 경우 조사와 제재까지 약 5개월이 소요됐다. 관련 당국의 조사가 빠르게 진행된다고 해도 조사 결과 등을 분석하는데 시간이 걸리고, 정보통신망법에서 정한 기준을 토대로 과실이 얼마나 되는지 검토하는 데도 시간이 필요하다.
방통위 관계자는 "해당 건에 대해서 조사를 하고 대응하는 부분은 실무적으로 진행되고 있지만 처분에 대해서는 의결이 필요한 부분"이라며 "제재는 다소 시간이 걸릴 것으로 예상된다"고 말했다. 다만 이 관계자는 “방통위원들의 공백이 있다고 해서 조사가 늦어지는 것은 아니다"라고 강조했다.
고삼석 방통위 상임위원은 여기어때 사태 조사가 인터파크 사태 때 보다 빠르게 진행될 것으로 내다봤다. 인터파크 건과는 달리 공격 방식이 복잡하지 않았기 때문이다.
관련기사
- '여기어때' 후폭풍…'사생활 앱' 직격탄 맞나2017.03.28
- 여기어때, 해킹 피해자 보상은?2017.03.28
- 여기어때 노린 해킹, 어떤 수법 썼나 보니2017.03.28
- 여기어때 예약 고객, 해킹 피해로 곤욕2017.03.28
실제로 합동조사단 관계자에 따르면 여기어때 해킹 사건에 대한 조사는 오랫동안 집요하게 취약점을 노린 지능형 공격(APT 공격)에 당했던 인터파크 건과는 달리 공격방식이 복잡하지 않다고 판단해 길어도 한 달 이내에 결론이 날 것으로 예상된다.
고 상임위원은 "이 건은 방통위원들의 공백과는 무관하게 진행되고 있다"며 "제재가 결정되기까지는 약 2~3개월 정도 걸릴 것으로 예상되지만 그 전에 위원회는 꾸려질 것"이라고 말했다.