Home > 전체기사
영국의 한 업체, 개인정보 부실히 관리했지만 GDPR 교묘히 비껴가
  |  입력 : 2020-01-13 17:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
딕슨 카폰, 1998년 정보 보호 법 기준 최고 벌금형인 50만 파운드 내야
부실하기 짝이 없는 보안 시스템...딕슨 측은 실제 피해 없다며 억울하다 주장


[보안뉴스 문가용 기자] 영국의 데이터 보호 주무 기관인 ICO가 딕슨 카폰(Dixon Carphone)이라는 업체에 50만 파운드(약 65만 4천 달러)라는 벌금형을 내렸다. 부적절한 보안 조치 사항들이 다량으로, 심각하게 발견됐기 때문이라고 한다. 한화로는 7~8억원 정도 되는 돈이다.

[이미지 = iclickart]


딕슨의 시스템이 사이버 공격에 침해를 당한 것은 2017년 7월 24일부터 2018년 4월 25일까지로 약 8개월 간이다. GDPR이 유럽연합 내에서, 영국의 데이터보호법이 영국 내에서 시행되기 한 달 전까지 침해된 상태로 회사를 운영했다는 뜻이다. 50만 파운드는 2018년까지 시행됐던 정보 보호 법(DPA 1998) 아래 부여할 수 있는 최대 규모의 벌금이다. GDPR이 적용되었다면 훨씬 더 높은 벌금이 책정되었을 거라고 ICO는 설명했다.

딕슨 측은 외부에서 소식을 듣기 전까지 자사가 침해당하고 있었다는 걸 인지하지 못했었다. 그 8개월 동안 무려 5390개의 PoS 터미널을 멀웨어가 감염시켰고, 이를 통해 564만 6417개의 지불 카드 정보가 침해됐다. 요즘 극성을 부리고 있는 메이지카트(Magecart)처럼 교묘하게 해킹 공격을 한 것도 아니고, 오로지 딕슨 측에서 P2P 암호화를 적용하지 않았기 때문에 생긴 일이었다.

재미있는 건 침해가 발생하기 직전에 딕슨 카폰은 보안 점검을 받았다는 것이다. ICO에 의하면 PCI DSS 감사와 그 성질이 매우 비슷한 것이라고 한다. 하지만 PCI DSS를 준수했다거나 하지 않았다는 것 자체가 이번 판결에 결정적인 영향을 미친 건 아니었다고 ICO는 분명히 밝혔다.

딕슨 측은 “정보가 침해되었다 하더라도, 그것으로 인해 대규모 추가 피해가 발생하지 않았다는 걸 참작해야 한다”고 주장하기도 했다. 하지만 피해자는 약 1400만 명으로, 전부 1) 이름, 2) 우편 주소, 3) 모바일 번호, 4) 집 전화번호, 5) 이메일 주소, 6) 생년월일, 7) 신용카드 정보 일부였다. 딕슨 측은 “신용 도용 공격을 하기에 충분한 정보였음에도 아무 일도 일어나지 않았다”는 주장을 펼쳤다.

ICO는 “물론 추가 피해가 크게 발생하지 않은 것 자체는 사실”이라고 인정했다. 하지만 “그렇게나 많은 정보가 새나갔음에도 아무 일도 일어나지 않았으니 약한 벌을 받아야 한다”는 주장은 합당하지 않다고 단호히 선을 그은 것으로 전달되고 있다. 또한 “DPA 1998이라는 규정이 정보 도난이 일어난 상황 자체에 관한 것이지, 그걸로 인한 추가 피해 여부를 고려해 벌을 소급 적용하라는 내용은 포함되어 있지 않다”고 반박했다.

이 반박은 GDPR 체제에서도 중요한 내용이라고 전문가들은 분석하고 있다. GDPR 체제 아래에서도 ‘실제 피해 여부’가 형량과 큰 상관이 없는 건 마찬가지이기 때문이다. 따라서 딕슨처럼 “사실상의 피해가 없으므로 형량을 줄여달라”고 주장할 수 없다.

딕슨은 다음과 같은 정보 보호 규정을 어긴 것으로 밝혀졌다.
1) 망분리를 하지 않음
2) PoS 장비에 로컬 방화벽이 설치되지 않음
3) 부실한 패치 관리
4) 부정기적으로 실시한 취약점 스캔
5) 애플리케이션 화이트리스팅의 일관적이지 않은 적용
6) 실효성 높은 로깅 시스템의 부재
7) 실효성 높은 모니터링 시스템의 부재
8) 오래된 소프트웨어 사용(8년 전 버전의 자바도 발견됐다)
9) P2P 암호화 기술 미사용
10) 관리자 계정 관리 부실
11) 적절한 표준 빌드 적용 실패

전문가들은 이번 판결을 통해 기업들이 반드시 알아가야 할 것이 세 가지라고 짚는다.
1) 프라이버시 침해나 사고에 대한 ‘가벼운 처벌의 시대’는 갔다. 50만 파운드는 오늘 날의 벌금 수준을 생각하면 낮은 것이나, 그건 사고의 시기가 GDPR을 공교롭게 피해갔기 때문이다.
2) 사용자 이름과 연결되지 않는 PAN 정보나 CVV 정보도 개인정보로 인정된다. 딕슨은 이번에 유출된 정보 중 PAN은 개인정보가 아니라고 주장했다가 반박당했다. ICO는 논리적 반박이 아니라 “개인정보 맞다”고 정정함으로써 딕슨의 주장을 깨트렸다.
3) 침해로 인한 피해가 있어야만 프라이버시 및 정보 보호 법에 의거해 벌을 받는 건 아니다. 침해 자체로도 충분히 높은 벌금형을 받을 수 있다.

딕슨은 28일 내에 항소할 수 있으며, 2020년 2월 6일 전까지 벌금을 낼 경우 20% 삭감된 금액인 40만 파운드만 내도 된다. 하지만 딕슨은 “ICO의 이번 판결에 실망을 금치 못한다”는 입장문을 냈으며, 계속해서 올바른 판결을 위한 주장을 펼쳐가겠다“고 말해 항소 의지가 있음을 드러냈다.

3줄 요약
1. 보안 상태가 엉망이었던 딕슨 카본, 이전 영국 정보 보호 법에 의거해 50만 파운드 벌금형 받음.
2. 딕슨은 '실제 피해가 없고, PAN은 개인정보가 아니니 벌을 완화해야 한다'고 주장했으나 반박당함.
3. 이전 영국 법에 의거한 판결이지만 대부분의 내용은 GDPR에도 적용될 것이라 의미심장한 사건.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상