위메프, 고객정보유출 후 '즉시 신고'?…거짓 해명 드러나

사고 인지하고도 신고 미뤄…"처벌 강화해 사고 막아야"
 
개인정보 유출사고를 낸 위메프가 관련법이 정한 기준에 따라 '즉시(사고 인지 후 24시간 내)' 유관기관에 신고를 마쳤다고 설명했지만 이는 사실이 아닌 것으로 확인됐다. 정보유출 사실을 인지한 지 24시간 내 신고하지 않으면 관련법상 최고 3000만원의 과태료가 부과된다는 점에서 위메프에 내려질 처벌 수위에도 관심이 모아진다.

민호기 위메프 언론홍보팀장은 지난 16일 "이달 14일 오후 6시 내외에 사고를 인지해 이튿날 오후 6시 내외에 (유관기관에) 신고를 마쳤다. 24시간 내에 신고했다는 점이 사실"이라고 말했다.

하지만 위메프는 14일 오후 5시 24분 정보유출 사실을 인지한 후 약 25시간이 지난 이튿날 오후 6시 27분에서야 한국인터넷진흥원(KISA)에 신고했다. 이는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 위반이다.

정보통신망법의 개인정보 유출 등의 통지 및 신고를 언급한 제27조3에 따르면 정보통신서비스 제공자 등은 개인정보의 분실·도난·유출 등이 발생할 경우 이 사실을 인지한 때부터 즉시 (24시간 이내) 방송통신위원회 또는 인터넷진흥원에 신고해야 한다. 구체적인 사실을 파악한다는 이유로 인터넷진흥원과 같은 유관기관에 신고를 지연할 경우 3000만원의 과태료 처벌이 내려진다. 민 팀장은 "이런 일(고객정보유출 등)이 나면 현업부서에선 자신들의 실수를 최소화하려고 제대로 커뮤니케이션을 해주지 않는다"고 해명했다.

인터넷정보원과 방송통신위원회 등은 위메프로부터 사실확인서를 받아 법률검토 등을 거쳐 위메프 개인정보유출 사태에 대해 결론짓겠다는 입장이다. 정보통신 관련 정부기관 관계자는 "위메프가 사건을 인지한 후 24시간이 넘어서야 사건을 신고했다"며 "이번 사건의 최종 결과는 특별점검반의 조사 결과가 나와봐야 알 수 있을 것"이라고 전했다.

위메프 삼성동 본사. 사진=오현승 기자
반복되는 보안 사고를 줄이기 위해선 처벌 수위를 높여야 한다는 지적이다. 위메프의 보안 사고는 이번이 처음은 아니다. 위메프에선 지난 2014년 아이디 도용으로 300명의 회원의 1100만 포인트가 도난되는 사건이 발생했다.

금융권 등에 보안솔루션을 제공하는 한 보안업체 대표는 "기업 이미지가 나빠질 것을 우려해 피해 사실을 제대로 알리지 않은 점은 비난받아 마땅하다"며 "고객정보를 취급하는 기업체들의 안이한 보안인식을 개선하기 위해선 처벌 수위를 좀 더 높여야 한다"고 말했다.

개인정보보호 사안에 정통한 한 검찰 출신 인사는 "이번 위메프개인정보유출 사고는 행정처분을 피할 수 없는 사안"이라면서도 "고의범이 아닌 경우라면 형사처벌은 어렵다고 본다"고 설명했다. 방송통신위원회 관계자는 "지난 16일 현장조사 한 내용을 최대한 빨리 정리할 계획"이라고 전했다.

한편 위메프는 지난 14일 관리자 페이지를 업데이트하는 과정에서 위메프 회원들의 포인트 환불신청일, 금액, 은행명 및 계좌번호 내역이 노출되는 보안사고를 냈다. 이번 사고로 14일 오후 12시 52분부터 오후 6시 30분까지 약 5시간 30분 동안 노출 가능성이 있던 3만 5000건의 개인정보 중 실제 420건이 노출됐다.

오현승 기자 hsoh@segye.com

<세계파이낸스>