고객정보유출 위메프, '즉시 신고' 규정 위반 가능성

사고 인지 및 유관기관 신고 시점 상세하게 밝히지 않아
신고 미루고 조치부터… 유출사고 다음날에야 1·2차 신고

위메프는 지난 14일 관리자 페이지를 업데이트하는 과정에서 위메프 회원들의 포인트 환불신청일, 금액, 은행명 및 계좌번호 내역이 노출됐다고 16일 오전 배포한 보도자료를 통해 밝혔다. 한 방송사가 15일 위메프 고객정보 유출 내용을 보도한 이후다.

위메프는 지난 14일 오후 12시52분부터 18시 30분까지 약 5시간 30분 동안 개인정보를 노출하는 사고를 냈다고 설명했다. 이번 사고로 노출가능성이 있던 3만5000건의 개인정보 가운데 420건이 실제 노출됐다고 위메프는 전했다.

하지만 위메프의 설명을 자세히 살펴보면 의문투성이다. 우선 위메프는 해명자료를 내면서도 정보유출사고를 인지하고 신고한 시각을 구체적으로 언급하지 않았다. 관련법이 요구하는 ''사고 후 즉시(24시간) 신고'' 원칙을 지키지 않았다는 해석도 나온다. 게다가 관련 기관에 파악, 신고해야 할 내용을 완전히 알리지 않고도 신고를 ''완료''했다고 표현했다. 

◇사고 신고 시점 ''두루뭉술''…"24시간 내 신고"도 해석 분분

우선 위메프는 자사 고객정보 유출사고를 인지한 시점과 유관기관에 신고한 시점에 대해 상세하게 밝히지 않고 있다.

기자가 위메프 측에 보안사고 발생 사실을 유관기관에 신고한 시각을 묻자, 민호기 위메프 언론홍보팀장은 "(사건 인지 후) 24시간 안에 신고를 완료했다. 그렇게만 말씀드리겠다"고 언급했다. 개인정보노출 사고가 발생한 오류시각을 오후 12시 52분이라고 분단위까지 밝히며 설명한 점과 대조된다. 

개인정보보호법령은 유출 사실을 개인정보처리자가 인지한 시점에서 유출통지 의무가 발생한다고 보고 있다. 위메프는 사고를 인지하고서도 신고를 미뤘다는 점에서 관련법상 즉시 신고 규정을 어긴 셈이다.

한국인터넷진흥원(KISA) 관계자는 "1차 신고가 들어온 건 15일 오후 6시 27분이고 개선조치까지 한 건 전날 6시 30분"이라며 "위메프는 먼저 조치를 한 후에서야 유관기관에 신고했는데, 위메프 담당자가 언제 사고를 최초로 파악했는지를 두고선 쟁점이 될 수 있다"고 말했다. 

방송통신위원회 관계자도 "위메프가 개인정보유출을 최초로 인지한 시각에 대해선 조사가 더 필요한 사안"이라고 전했다. 지난 16일 위메프를 현장조사한 방송통신위원회와 인터넷진흥원은 해당 사안도 면밀히 들여다보겠다는 계획이다. 

◇최종 사고 신고 완료는 오후 9시 넘어서야

위메프가 자신들의 해명처럼 방송통신위원회와 인터넷진흥원 등 유관기관에 신고를 ''완료''했다고 보기에도 무리가 따른다. 이 회사는 15일 오후 6시 27분에 1차신고만 진행했을 뿐이다. 사고 사실의 세부내용을 전부 파악하지 못했기 때문이다. 위메프는 같은날 오후 9시 9분 추가 내용을 더해 2차 신고를 진행했다.

위메프 삼성동 본사. 사진=오현승 기자

정보통신망법에 따라 고객개인정보 유출사고 등이 발생한 사업자가 의무적으로 신고해야 하는 사항은 △유출 등이 된 개인정보 항목 △유출 등이 발생한 시점 △이용자가 취할 수 있는 조치 △정보통신서비스 제공자등의 대응 조치 △이용자가 상담 등을 접수할 수 있는 부서 및 연락처 등 5가지다. 관련법은 구체적 내용을 확인하지 못한 사업자가 확인된 내용만 우선 신고하는 건 허용한다.

인터넷진흥원 관계자는 "통상 유출항목 및 시점, 경위 등을 모를 때는 일단 1차 신고를 먼저 진행하고, 해당 내용이 확인이 되면 다시 신고할 수 있다"며 "조사결과가 정리된 후 세부내용을 알 수 있을 것"이라고 설명했다.

◇인터넷진흥원 신고 이유…"고객 피해 대비?"

위메프는 사고발생을 언급한 보도자료에서 "고객들의 금융 거래 피해가 있을만한 정보 노출이나 피해는 없었다. 혹시 모를 피해에 대비해 인터넷진흥원에 신고했다고 설명했다.

하지만 전문가들은 위메프가 고객 피해를 막고자 유관기관에 신고했다는 해명에 동의하지 않는다. 오히려 신고 지연에 따른 과태료를 피하기 위한 측면이 크다는 게 전문가들의 분석이다.

위메프와 같은 정보통신서비스 제공자등은 개인정보의 분실·도난·유출 등이 발생할 경우, 이 사실을 인지한 때부터 24시간 이내에 방송통신위원회 또는 인터넷진흥원에 신고해야 한다. 이를 어기면 과태료 부과 등의 처벌을 받는다. 구체적인 사실을 파악한다는 이유로 인터넷진흥원과 같은 유관기관에 신고를 미루면 3000만원의 과태료 처벌을 받는다. 

국내 한 보안관련기관 관계자는 "신고 의무를 규정한 정통망법으로 규정된 사항을 준수한 것이지 추가 피해를 막기 위해 유관기관에 신고했다는 내용은 설득력이 부족하다"고 설명했다. 구태언 테크앤로 대표변호사는 위메프 정보유출사고과 관련, "고의가 아니라 과실에 의한 것으로 밝혀지더라도 정통망법의 접근통제 위반인 건 분명하다"며 "적당한 접근권한이 없는 사람에게 개인정보가 보여진 것은 결코 경미한 사안이라 볼 수 없다"고 말했다.

오현승 기자 hsoh@segye.com

ⓒ 세계파이낸스 & segyefn.com, 무단 전재 및 재배포 금지