[아시아경제 안하늘 기자] 인터파크 개인정보 유출사고가 발생 했을 때 담당자들이 신속한 초기 대응을 하지 못해 피해가 더욱 커졌다는 분석이 나오고 있다. 사고 발생 시 피해를 최소화하기 위한 대응책이 필요하다는 지적이다.
방송통신위원회와 한국인터넷진흥원은 31일 개인정보 유출사고 발생 시 사업자가 준수해야 할 사항을 담은 '개인정보 유출 대응 매뉴얼'을 발표했다.
매뉴얼에서는 과거의 잘못된 대응 사례를 반영해 적절한 대응방향을 제시했다. 신속한 초기 대응을 통해 이용자 피해를 최소화하기 위한 것이다. 사업자는 매뉴얼을 참고해 자사의 상황에 맞도록 '사업자 개인정보 유출 대응 매뉴얼'을 마련하고 세부적인 대응절차 및 방법을 대책을 수립ㆍ시행하여야 한다.
먼저, 개인정보 유출사실을 알게 된 때에는 신속히 최고경영자(CEO)에게 보고하고 '개인정보 유출 신속대응팀'을 구성해 추가 유출 및 이용자 피해발생 방지를 위한 조치를 취해야 한다.
이후 사업자는 개인정보 유출 원인을 신속히 파악한 후 유출 경로별 추가유출 방지를 위한 개선조치를 실시해야 한다. 인터파크와 같이 해킹에 의해 유출된 경우에는 추가유출 방지를 위해 시스템 일시정지, 비밀번호 변경 등 상황에 따른 긴급조치를 시행해야 한다.
또 개인정보 유출 사실을 곧바로 신고해야 한다.
사업자는 해커 등 유출자 검거와 유출된 개인정보 회수를 위해 경찰청(사이버안전국)에 범죄수사를 요청하고 미래창조과학부(또는 한국인터넷진흥원)에 침해사고를 신고해야 한다. 또 방송통신위원회(또는 한국인터넷진흥원)에 즉시(24시간 이내) 확인된 사항을 중심으로 신고하고 이용자에게 통지해야하며, 이후 추가사항이 있는 경우에는 추가하여 신고ㆍ통지해야 한다.
이용자에게 통지할 때는 모든 이용자가 유출 여부에 대해 실제 확인이 가능하도록 이용빈도가 높은 전화, 문자, 이메일 등의 방법을 우선 활용하고, 홈페이지 팝업창 게시 및 유출확인 메뉴 마련 등의 조치도 병행하도록 했다.
이와 함께 이용자가 분쟁조정 절차, 법정ㆍ징벌적 손해배상제도를 활용할 수 있도록 이용자에게 안내하고, 향후 유사사고가 재발되지 않도록 대책을 마련하도록 했다.
최성준 방송통신위원회 위원장은 "개인정보 유출사고가 발생한 경우에는 무엇보다 신속하게 이용자에게 알리고 관계기관에 신고해 추가 피해를 막는 것이 중요하다"며 "이번 매뉴얼을 참고하여 사업자마다 자체 상황에 맞는 매뉴얼을 마련하도록 하여 향후 유사사고 발생 시 신속히 대응할 수 있도록 개선해 나가겠다"고 밝혔다.
한편 이날 미래창조과학부와 방통위는 지난 5월 온라인 쇼핑몰 인터파크에서 발생한 해킹 사고로 회원정보 2665만8753건이 유출된 것으로 조사됐다고 밝혔다. 또 해커가 사용한 해킹 방법은 스피어피싱인 것으로 확인됐다. 지난 달 경찰청은 이번 해킹이 북한 정찰총국 소행으로 판단된다고 발표한 바 있다.
안하늘 기자 ahn708@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>