이동통신(알뜰폰), 인터넷회선, 케이블TV 등 종합적인 정보통신서비스를 제공하는 LG헬로비전이 알뜰폰 1:1 상담문의 게시판에서 외부의 공격으로 46,134명의 개인정보가 유출되어 11.3억 원의 과징금이 부과됐어요. 현 보도자료에 따르면, 방화벽과 IDS가 있긴 한데, 운영에 문제가 있었고, XSS 공격으로 개인정보가 유출됐다는 것으로 해석돼요. 상세한 것은 속기록이 나오면 살펴봐야겠어요.

개인정보위에서 “주민등록번호가 포함된 신고·신청을 대행하는 사업자가 법령에 따라 주민등록번호 처리 권한을 기 보유한 행정기관에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우는 보호법상 제한된 행위로 보지 않”는다고 한 점이 특이해요. 현행법상 ‘전달’은 ‘수집 + 제공’(제2조)일 텐데, 엄격하게 관리하겠다고 별도의 조항(제24조의2)까지 만든 주민번호에 대해 해석으로 풀어주는 것이 바람직한지 의문이에요.

경북대, 숙명여대, 구미대 개인정보 유출 사건이 범인이 동일해요. 최근 학교에서 실수 또는 공격으로 개인정보 유출 사건이 잇따르는데, 법령에 따라 개인정보를 수집하는 학교에서 개인정보 보호에 관해 관심을 기울여야 할 시점인 것 같아요.

크리덴셜스터핑으로 개인정보가 유출됐다고 해요. 아직 법적으로는 사업자가 크리덴셜스터핑 자체를 차단해야 할 의무를 부과되어 있지는 않은데, 개인정보 보호가 중요한 기업에서는 2단계 인증 등 보안솔루션을 구축하고, 정보주체에 권고하는 수준의 활동은 해야 하지 않을까 싶어요.

이 소송은 수익성이 높은 AI 사업을 위해 수많은 개인의 데이터를 통지, 동의, 보상 없이 무단으로 수집, 이용할 수 있는지가 핵심 취지예요. 충분히 짚고 넘어가야 할 이슈라고 보여요.