지난 11일 아프리카TV는 외부 공격에 의해 일부 가입자의 개인정보가 유출됐다고 밝혔다.
아프리카TV, 개인정보유출 확인…유출 규모 확인 중 - 7월 11일아프리카TV, 개인정보유출 의심 - 7월 2일
유출된 개인정보는 2002년 12월 17일 이전에 아프리카TV에 가입한 회원 중 일부 회원의 ▲아이디 ▲이름 ▲가입일 ▲암호화된 비밀번호 ▲생년월일 ▲이메일 주소 ▲휴대전화 번호 등이 포함됐다.
최근 발생한 카드사와 이동통신사의 개인정보유출 사고에 비하면 유출 정보와 규모는 매우 작은 규모로 유추된다. 하지만 소규모의 사고라고 이를 제대로 알리지 않는다는 것은 문제가 있어 보인다.
지금껏 개인정보유출 사고를 겪은 회사들은 홈페이지 첫 화면에 해킹사고에 대한 공지와 피해를 확인할 수 있는 페이지를 개설했다. 사용자들에게 개인정보유출 사실을 제대로 알리기 위해서다.
하지만 아프리카TV는 개인정보유출 피해를 입은 사용자들에게만 이메일을 통해 유출사실을 통지하는데 그쳤다.
출처 http://hummingbird.tistory.com/5462
이와 관련 아프리카TV 관계자는 “홈페이지 공지는 선택사항이다. 우리는 해킹 사실을 인지하자마자 피해자들에게 안내 메일을 보냈다”고 전했다.
물론 아프리카TV의 주장은 사실이다. 이메일로 피해 사실을 알릴 경우 홈페이지 공고는 생략할 수 있다.
근거 법령은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제14조의2다.
이 조문에 의하면 사업자는 개인정보유출 사실을 인지했을 때 사용자에게 ▲유출된 개인정보 항목 ▲유출 시점 ▲이용자가 취할 수 있는 조치 ▲사업자의 대응 조치 ▲상담 연락처 등을 포함해 이메일, 서면, 전화 등을 통해 알려야한다.
아프리카TV측은 이메일을 통해 사용자들에게 피해 사실을 알렸고, 이에 대한 신고도 제때 했기 때문에 문제가 없다는 주장이다.
하지만 상식적으로 생각해보자. 12년 전에 쓰던 메일주소를 아직까지 쓰는 사용자가 얼마나 될 것인가. 메일 서비스가 없어진 경우도 있을 것이며, 변심에 의해 메일주소를 변경한 사람도 있을 것이다.
정보통신망법 시행령에 명시돼 있는 ‘유출사실 통지’ 부분은 피해자들에게 유출 사실을 모두 알려야 한다는 내용을 전제로 하고 있다. 피해자들이 피해 사실을 인지하지 못한다는 것은 사업자의 기망행위로 인한 결과라고 볼 수 있다.
아프리카TV는 개인정보유출 사고가 발생한 이후에도 규모에 대해서 전혀 언급하지 않고 있다. 특히 유출된 DB가 언제 생성된 것(2002년 12월 17일 이전)인지를 스스로 인지하고 있는 상황에서 유출 규모를 밝히지 않는다는 것은 단순히 ‘수사 중이기 때문에 밝히지 못한다’는 것과는 의미가 다르다.
회사측도 이를 인정했다. 이 회사 관계자는 “유출 건수는 매우 적다. 회사 방침에 따라 규모는 공개하지 않기로 했다”고 전했다.
이 뿐만 아니다. 지난 1일 보낸 사과문에는 방송통신위원회에 피해 사실을 즉각 신고했다고 명시했으나, 실제 방통위가 사고를 접수한 날짜는 지난 7일이었으며, 그 다음날인 8일에 조사에 착수했다는 방통위 개인정보보호과의 발언도 확인했다.
아프리카TV는 더 이상 사용자를 기망하는 행위를 멈추길 바란다.
댓글 쓰기