1. 배경
2016년 인터파크 고객정보 유출 사건을 모델로 드라마화 추정.
인터파크 한 직원 PC에 스피어피싱 메일을 통해 악성코드가 설치되었고, 곧 내부망으로 퍼지게 됨.
고객정보관리담당자 PC에도 악성코드가 설치되어 고객정보 1,094만 여건 유출.
2. 이 사건으로 인터파크는 44억 8천만원의 과징금과 2,500만원의 과태료를 부과 받았음.
3. 스피어피싱이란?
스피어피싱이란 특정인을 목표로 개인정보를 훔치는 피싱 공격임. 물고기를 작살로 잡는 작살낚시(spearfishing)에 빗댄 것. 가짜 인터넷 사이트를 만들어 놓고 이곳에 접속한 불특정 다수의 개인정보를 빼내는 일반적인 피싱(phishing)과 달리 특정인을 목표 함.
4. 언론보도 자료(보안뉴스, 22.8.18.)
넷플릭스를 통해 방송돼 우리나라는 물론 전 세계에서도 선풍적 인기를 끌고 있는 드라마 ‘이상한 변호사 우영우’ 15화에서 다룬 ‘쇼핑몰 개인정보 유출사건’은 2016년 발생한 실제 사건을 다루고 있다.
쇼핑몰 ‘라온’의 DB 관리자가 취업을 준비 중인 동생에게 메일을 받은 건 밤 11시 14분, ‘자소서(자기소개서)를 보냈으니 읽어 달라’는 내용의 메일이었다. 메일을 열어 첨부된 ‘자소서.doc’ 파일을 다운받았지만, 문서를 보려면 도구바의 ‘콘텐츠 사용’ 버튼을 클릭하라는 문구가 뜨면서 열리지 않았고, 별 생각 없이 버튼을 클릭해 메일을 열었지만 문서에 별다른 내용은 없었다. 잠시 이상하다는 생각을 했지만, 너무 늦은 시간이라 노트북을 끄고 회사를 나섰고, 나중에야 동생이 이메일을 보낸 적이 없다는 사실을 알게 됐지만 이미 해커의 악성파일은 설치된 후였다.
전 국민의 80%나 되는 사용자의 개인정보를 유출한 라온은 방통위(방송통신위원회)에게 3,000억 원의 과징금을 부과 받았고, 이에 대응하기 위해 우영우가 일하는 대형 로펌에 소송을 의뢰했다. 이번 소송의 쟁점은 크게 두 가지로, 첫 번째는 라온이 DB 서버에 ‘Idle Timeout(접속시간 제한)’을 설정하지 않아 해커가 아무런 제재 없이 DB 서버를 들락거렸다는 것이고, 두 번째는 방통위의 과징금이 과거 판결과 비교했을 때 너무 많다는 점이었다.
드라마에선 우영우 등 변호사들의 활약으로 라온이 승소했지만, 실제 쇼핑몰은 방통위에게 과징금 45억여 원을 부과 받고 소송을 제기, 대법원 판결까지 가서 결국 패소했다. 당시 방통위는 해킹 때 발견된 취약점이 해킹에 원인을 제공한 취약점이 아니었음에도 불구하고 이를 과징금 처분의 근거로 삼았다. 때문에 드라마에서 쟁점이 된 ‘인과관계’ 역시 실제 사건의 재판에서도 쟁점이었지만, 당시에는 인과관계에 대한 내용이 담긴 개정안(2020년)이 나오기 전이었기 때문에 명확한 결론은 대법원 판결(2019년)에서 났다.
게다가 2020년 ‘정보통신망법’과 ‘신용정보법’ 등 개인정보 관련 법안들의 ‘개인정보보호’ 관련 내용이 ‘개인정보보호법’으로 통합되면서, 드라마에 나온 ‘정보통신망법 개정안’ 내용 역시 실제로는 ‘개인정보보호법 개정안(2020년, 제39조의15)’에 담겨있다. 드라마에서 방통위가 부과한 3,000억원 역시 전체 매출액의 3%까지 부과할 수 있다는 개정안을 이유로 들었지만, 이 역시 2020년 개인정보보호법 개정안에 처음 담겼다. 아울러 이번처럼 개인정보 보호 관련 과징금을 부과할 수 있는 기관도 이제 ‘방송통신위원회’가 아닌 ‘개인정보보호위원회’가 됐다.
2022.08.20 - [행정사 업무 안내/개인정보보호] - '이상한 변호사 우영우' 개인정보유출 관련 팩트체크