세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
하나투어의 개인정보 유출 신고, 10일 이상 늦어졌다
  |  입력 : 2017-10-19 00:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
하나투어 개인정보 유출 및 침해사고 신고, 인지 시점보다 10일 이상 늦어져

[보안뉴스 김경애 기자] 하나투어의 개인정보 유출사건으로 시끄러운 가운데 하나투어 측의 유출 및 침해사고 신고가 인지 시점보다 10일 이상 늦어진 것으로 드러났다. 정당한 사유 없이 신고가 늦어질 경우 행정처분 대상이 될 수 있어 늦장 신고 이유에 대한 궁금증이 커지고 있다.

▲ 하나투어 고객정보 유출공지 및 유출사실 확인조회 팝업창[이미지=하나투어 홈피 캡처]


이번 개인정보 유출사고는 하나투어의 유지보수 업체 직원의 PC가 악성코드에 감염돼 조사하던 중 드러난 것으로 알려졌다.

개인정보 유출 시점과 관련해 하나투어는 공지를 통해 “지난 9월 28일 PC를 통해 개인정보 파일의 일부가 유출된 정황을 확인했다”며 “유출된 정보는 2004년 10월부터 2007년 8월 사이에 생성된 파일로 하나투어 이용자 이름, 휴대전화번호, 주민등록번호, 집전화번호, 집주소, 이메일주소 중 일부 정보를 포함하고 있다”고 밝혔다.

또한, 유출 사실을 인지한 즉시 해당 PC의 불법 접속경로를 차단하고 보완조치를 했으며, 관계기관 신고를 통해 수사 협조와 함께 기타 필요한 조치를 취하고 있다고 덧붙였다.

하지만 정보통신망법에 따르면 개인정보 유출 신고는 48시간 내에 이루어져야 하고, 침해사고의 경우 발생 시 즉시 신고해야 한다.

그러나 본지 취재결과 한국인터넷진흥원에 접수된 개인정보 침해 신고 날짜는 국정감사에서 언급된 10월 11일로 최종 확인됐으며, 침해사고 신고는 이보다 3일 더 늦은 14일인 것으로 알려졌다. 정당한 사유 없이 즉시 신고하지 않았다면 정부 조사에 따라 과태료 등 행정처분을 받을 수 있기 때문에 하나투어도 행정처분 대상이 될 가능성이 높다.

이와 관련 한 기업의 CISO는 “정보통신망법 제27조의3에서는 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지, 신고해서는 아니된다고 규정하고 있다”며 “정당한 사유는 수사기관과의 협조 내지 유출된 데이터 회수 조치 등을 우선적으로 처리함에 있어 유출 신고와 통지 조치가 수사에 방해되거나 유출된 데이터 회수가 곤란한 경우가 해당된다”고 설명했다. 이에 하나투어 측에서는 신고가 늦어진 ‘정당한 사유’가 무엇인지 명확히 밝혀야 할 것으로 보인다.

이번 개인정보 유출 사건은 종로경찰서에 접수됐다가 18일 오후 2시경 경찰청 사이버안전국으로 이관됐다.

하나투어에 침투한 악성코드는 원격제어 형태의 악성코드로 조사됐다. 이를 바탕으로 개인정보 유출뿐만 아니라 악성코드 전파, 명령제어, 정보수집, 시스템 권한 탈취 등 해커가 마음먹은 대로 모든 행위를 할 수 있다는 점에서 추가 피해 우려가 높다.

특히, 여행사 사이트는 중요한 개인정보를 많이 취급하고 있고, 많은 사람들이 가입하고 있어 해커 입장에서는 매력적인 공격타깃이 될 수밖에 없다. 그렇기에 고객정보 보호와 웹사이트 보안에 더욱 만전을 기해야 한다는 지적이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



   2018 평창 동계올림픽, 그 현장 속으로!

SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)