맥도날드·인터파크 등 사고 잇따라
중국 AI '딥시크' 개인정보 유출 논란
또 한 차례 대규모 개인정보 유출 사고가 발생했다. GS리테일은 지난달 GS25 고객 9만 여명에 이어 이번에는 홈쇼핑 GS샵의 개인정보 158만 여건이 새어나가는 사고의 당사자가 됐다.
유통업계에서 반복되는 허술한 개인정보 관리에 대한 강력한 처벌이 필요하다는 지적이 제기된다.
 |
| ▲서울 영등포구 GS홈쇼핑 본사.[뉴시스] |
28일 업계에 따르면 GS샵에서 유출된 것으로 개인정보는 △이름 △성별 △생년월일 △연락처 △주소 △아이디 △이메일 △기혼 여부 △결혼기념일 △개인통관고유부호 등 10개 항목이다.
GS리테일에 따르면 이번에 사용된 해킹 수법은 여러 경로로 수집한 계정과 비밀정보 등을 무작위로 대입해 로그인한 후 개인정보를 훔치는 '크리덴셜 스터핑(Credential Stuffing)'이다.
유통업체들은 소비자 구매 패턴과 '록인효과'를 누리기 위해 자사 회원 가입을 적극 유도한다. 하지만 매년 이같은 개인정보 유출 사태가 반복되고 있다.
지난 2023년 3월 개인정보보호위원회는 한국맥도날드에 개인정보보호법 위반을 이유로 과징금 6억9646만 원, 과태료 1020만 원 처분을 내린 바 있다. 맥딜리버리 서비스를 운영하며 이용자 개인정보가 포함된 백업파일이 네트워크를 통해 파일 공유가 가능한 SMP 프로토콜을 통해 접속될 수 있도록 운영했다. 이로 인해 487만6106명의 고객 개인정보가 유출됐다.
이 같은 대규모 개인정보 유출 사실을 인지하고서도 관계 기관에 신고하거나 고객들에게 해당 사실을 알리지 않은 점도 처분의 이유가 됐다.
같은해 6월 개인정보위는 인터파크에 78만 건에 달하는 개인정보 유출로 10억2645만 원의 과징금과 360만 원의 과태료를 부과했다. 동일 접속 주소의 대규모 로그인 시도 등 비정상적 상황을 차단하는 시스템이 마련되지 않았다는 이유에서다.
특히 최근에는 중국의 생성형 인공지능(AI) 딥시크로 인한 개인정보 유출과 활용에 대한 우려도 커지고 있다.
개인정보위는 딥시크 본사에 개인정보 수집·처리 방식에 관한 공식 질의를 보낸 데 이어 딥시크 서비스에 대한 자체 분석에 착수했다. 그 결과 딥시크가 제3자인 바이트댄스에 이용자 입력 정보를 전송한 것을 확인했다.
 |
| ▲서울시내 한 가전매장에 진열된 중국산 로봇청소기의 카메라.[뉴시스] |
딥시크 논란은 중국 가전기업으로까지 확산됐다. 국내 로봇청소기 시장 1위인 중국 가전기업 로보락은 자사 '개인정보 처리방침'에 따라 한국 사용자의 개인정보를 IoT 업체 '항저우투야인포메이션테크놀로지'(투야)와 공유할 수 있다.
개인정보 유출 논란에 로보락은 지난 26일 신제품 기자회견에서 "로봇청소기가 자체적으로 수집하는 영상 데이터, 오디오 데이터 등의 정보는 서버에 저장되지 않고, 제삼자에게도 데이터를 제공하지 않는다"고 밝혔다.
또한 블록체인의 보안도 뚫을 수 있을 것으로 우려되는 양자컴퓨터가 상용화될 경우 해킹이 더 광범위해질 우려도 크다.
양자컴퓨터는 기존 디지털 컴퓨터가 사용하는 비트(bit) 대신 양자 비트(qubit)를 활용해 정보를 처리하는 새로운 방식의 컴퓨터다. 기존 컴퓨터보다 복잡한 문제를 획기적으로 빨리 해결할 잠재력을 지닌다.
구글과 IBM 등 빅테크 기업들이 천문학적 비용을 들여 양자컴퓨터 연구에 몰두하고 있다. 하지만 미국의 싱크탱크 허드슨연구소는 양자컴퓨터를 이용한 해킹이 현실화될 경우 암호화폐와 금융시장의 손실액이 3조 달러(약 4400조 원)에 이를 수 있다고 경고한 바 있다.
한편으로는 정부 당국의 개인정보 유출에 대한 '솜방망이' 처벌도 피해를 키우고 있다는 지적도 나온다. 전문가들은 개인정보보호법상 '매출의 3%' 수준 과징금을 철저히 매기는 것이 효과를 낼 것으로 보고 있다.
박기웅 세종대 정보보호학과 교수는 "그동안 유럽과 비교했을 때 국내 기업들의 고객 개인정보 유출로 인한 처벌 수위는 세지 않았다"며 "'매출액 3% 과징금'은 개인정보 보호 노력을 강화하는 계기가 될 것"이라고 말했다.
KPI뉴스 / 유태영 기자 ty@kpinews.kr
[ⓒ KPI뉴스. 무단전재-재배포 금지]
