#삼쩜삼 #삼성전자 #LG헬로비전 #Criteo 안녕하세요. 오늘의 프리-뷰는 총 20억의 과징금을 받은 삼성전자와 LG헬로비전의 소식, 그리고 최근 발표된 '삼쩜삼'에 대한 개인정보위의 조사 결과까지 싹 정리해서 가져왔어요😊 |
|
|
개인정보 유출된 삼성전자·LG헬로비전 총 20억 과징금 |
|
|
지난 6월 28일, 개인정보보호위원회가 삼성전자와 LG헬로비전에 각각 8억 7,555만 원, 11억 3,179만 원의 과징금을 부과했습니다. 두 사업자 모두 이용자들의 개인정보가 유출되었는데, 지금까지 제재받은 다른 기업들에 비해 유출 규모가 작지만 위반 행위 관련 매출액 규모가 커 높은 과징금 액수가 부과되었어요.
이번 제재에서는 특히 ‘크리덴셜 스터핑’에 대한 개인정보위의 입장을 확인할 수 있었는데요. 동일한 IP주소에서 짧은 시간 내에 대규모 로그인 시도가 발생했을 경우를 크리덴셜 스터핑 공격으로 인정한다는 걸 명확히 했어요. 2020년 신고된 연예인 갤럭시폰 해킹 사건에 대해서는 개인정보 보호법 위반으로 보기 어려워 행정 처분을 내리지 않은 건데요. 이 사건에선 해커가 소수 이용자의 ID와 패스워드를 직접 탈취해서 데이터를 복제했기 때문에, 사업자 입장에서는 정상적인 로그인 시도로밖에 볼 수 없었음을 인정했어요. 로그인 횟수가 많지 않고 한두 건 정상적인 로그인을 했다고 하면 이것이 계정이 도용된 것이라 하더라도 기업 입장에서는 판단하기 어려울 수 있다는 점을 고려한 거죠. |
|
|
[삼성전자]
-
삼성계정 DB 변경 과정에서의 오류로 이용자 26명의 개인정보가 타인에게 노출
👉 DB 변경 과정(오라클 → 포스트그레 SQL)에서 두 DB 간 공백문자 처리 방식이 다르다 보니, 데이터를 통째로 옮기는 과정에서 정보 입력이 잘못되어 노출이 발생했어요.
-
사이버 공격으로 인해 삼성클라우드 76개 계정의 이미지·동영상 유출
-
시스템 개발 오류로 일부 사용자가 동일 이용자로 처리되어, 배송조회 과정에서 19명의 개인정보가 타인에게 노출
[LG헬로비전]
-
웹 취약점(XSS)에 대한 조치 미흡으로 46,134명의 개인정보 유출
👉 홈페이지에서 여러 이벤트를 진행하며 트래픽이 몰리다 보니 과부하가 자주 발생하자, 외부 불법 침입을 탐지·차단하는 보안 정책을 2021년 7월부터 2022년 6월까지 적용하지 않았어요.
👉 취약점을 발견한 해커가 1:1 게시판에 악성 스크립트를 삽입하였고, 이 게시판을 클릭한 상담사의 로그인 계정이 탈취되어 개인정보가 유출되었어요.
-
상시 보안 업데이트 미적용으로 발생한 세션 오류로 인해 이용자의 개인정보 유출
-
유출 신고 및 통지 지연
|
|
|
나에게 세무대리인이 있었어?
작년 초, 한 서비스에 대한 논란이 뜨거웠습니다. 어느 날 보니 국세청 홈택스에 나도 모르는 내 세무대리인이 등록되어 있던 거죠. 기존에 등록되어 있던 세무대리인조차 해임된 채로요. 이게 어떻게 된 일일까요?
|
|
|
영문 모를 세무대리인이 등록된 사람들은 모두 ‘삼쩜삼’ 이용자였어요.
‘삼쩜삼’은 복잡한 종합소득세 신고 및 환급을 비대면으로 손쉽게 처리해주는 서비스에요. 신고와 환급을 대신 해주는 대신, 이용자로부터 세금 환급액의 10~20%를 수수료로 받고 있죠. 세무사 도움 없이 간단히 세금 신고나 환급을 할 수 있다는 장점이 입소문을 타며 급성장했어요.
삼쩜삼은 세금 환급 절차 진행을 위해 이용자에게 별도의 안내 없이 국세청 홈택스에 세무대리인을 등록한 뒤 세금 관련 업무를 진행해왔는데, 이를 뒤늦게 발견한 이용자들이 문제를 지적하면서 논란이 시작되었어요.
|
|
|
논란의 쟁점
불법세무대리, 과장 광고 등 삼쩜삼을 둘러싼 많은 논란이 있지만, 개인정보 측면에서 이용자들이 지적한 문제는 크게 2가지에요.
1. 세무대리인 등록에 대한 고지 여부
세무대리인은 납세자의 주민등록번호를 포함하여 납세사실증명, 소득증명원, 과세표준증명원 등 이용자의 납세 관련 정보를 임의로 확인할 수 있어요. 이렇게 많은 권한을 가진 세무대리인이 수임된다는 사실을 이용자가 인지할 수 있게 설명하지 못한 프로세스를 가장 큰 문제로 지적했어요.
2. 주민등록번호의 처리 제한사항의 위반 여부
주민등록번호는 법령에서 처리를 허용한 경우에만 처리가 가능해요. 이용자의 동의를 받았다 하더라도, 법령에 명시된 근거가 없으면 위법이 되죠. 때문에 회원가입 시에 주민등록번호를 요구해서는 안 되며, 주민등록번호를 사용하지 않고 회원으로 가입할 수 있는 방법을 제공해야 해요. 하지만 삼쩜삼은 회원가입 단계에서 이용자의 주민등록번호를 요구했고, 주민등록번호를 입력하지 않으면 서비스를 이용할 수 없었어요.
|
|
|
각자의 입장을 살펴보면
<삼쩜삼 운영사-자비스앤빌런즈> 3️⃣.3️⃣
- 세금 부담액 및 환급액을 계산해야 하는 세무 대리 서비스의 특성상 세무대리인이 이 과정에서 개입하게 되는 건 정상적인 절차야.
- 우리는 분명 약관에 공지했어. 절차적으로 문제없다고.
<이용자> 😠
- 삼쩜삼을 이용하면서 세무대리인이 수임될 것이란 사실을 전혀 알지 못했어.
- 내가 동의하지도 않았는데 내 납세 정보를 열람하는 건 말도 안 돼.
- 세무대리인 등록이 필요하다고 하더라도, 환급 절차가 끝나면 자동으로 해지해줘야 하는 거 아냐? 계속 대리인 행세를 하며 언제든 내 개인정보 빼가도 나는 모르잖아;
|
|
|
일단, 개인정보 보호법은 위반임
논란이 일자, 한국소비자연맹이 개인정보보호위원회와 공정거래위원회에 삼쩜삼을 신고했어요. 이에 1년 넘게 지속된 개인정보보호위원회의 조사 결과가 지난 6월 28일, 드디어 발표되었습니다.
결론은, 삼쩜삼 운영사 자비스앤빌런즈는 개인정보 보호법 위반으로 과징금 8억 5,410만 원과 과태료 1,200만 원을 내야 합니다.
삼쩜삼이 위반한 내용을 살펴보면,
-
모든 이용자로부터 주민등록번호를 수집했어요.
→ 수집한 주민등록번호를 통해 홈택스에 로그인하여 이용자의 소득 관련 정보를 수집하고, 세무대리인을 수임했으며, 환급 신고 대행을 했어요.
→ 이렇게 수집한 주민등록번호를 신고 완료 이후 즉시 파기하지 않고 계속 보관해왔어요.
-
동의서가 아니라 개인정보 처리방침을 안내하고 이용자의 개인정보를 수집했어요.
→ 개인정보 제3자(세무대리인) 제공에 대한 사실을 명확히 알리지 않았어요. (제3자 제공 별도 동의X)
→ 근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등에 대한 정보를 수집해왔어요. (민감정보 별도 동의X)
→ 처리방침 상에 삼쩜삼이 수집하는 항목, 수집 목적, 보유기간을 정확하게 안내되지 않았어요.
|
|
|
혁신과 위법 사이
삼쩜삼은 아르바이트, 프리랜서, 긱워커 등 소액의 신고액으로 인해 세무 사각지대에 놓여있던 사람들에게 세금 신고의 접근 장벽을 낮추었다는 평가를 받고 있습니다. 2020년 5월 출시 이후 2년 만에 1,000만여 명의 고객을 확보하고, 2023년 4월 기준으로 누적 가입자 1,546만 명, 누적 환급액 6,132억 원을 기록했어요. (출처: 삼쩜삼 블로그) 얼마 전에는 중소기업벤처부로부터 예비유니콘 기업(기업가치 1,000억 이상 1조 미만)에 선정되기도 했고요. 삼쩜삼 서비스의 확산으로 총 5,760억 원의 사회적 경제효과가 발생했다는 연구 결과도 있어요.
하지만, 법을 위반하고 이용자들의 개인정보를 안전하게 보호하지 않는 서비스가 계속해서 성장할 수 있을까요? 아무리 편리한 기능을 제공하더라도, 자신의 개인정보를 보호하지 않는다고 판단하면 이용자는 언제든 서비스를 떠나버리기 마련이죠. 서비스 설계 단계에서부터 개인정보보호를 고려하여 기획해 사용자가 안전하게 이용할 수 있는 환경을 만드는 것이 가장 중요합니다. 삼쩜삼의 경우 문제가 되었던 세무대리인 수임과 주민등록번호 수집에 관한 부분은 개인정보위 조사 과정 중 절차를 개선했다고 해요.
개인정보 논란은 삼쩜삼의 잘못으로 종결되었지만, 삼쩜삼의 위법성 논란은 아직 끝나지 않았습니다. 삼쩜삼의 ‘불법세무대리 행위’ 진위에 대해 아직 검찰 조사가 진행 중이거든요. 경찰 조사는 ‘삼쩜삼은 세무사법 위반이 아니다.’ 로 종결되었지만, 세무사회에서 이의 제기를 했어요. 개인정보위가 국세청에 주민등록번호를 단순 전달하고 즉시 파기하는 것은 위법이 아니라고 판단, 즉 세무대행을 위한 주민등록번호 처리 자체가 위법은 아니라고 판단한 만큼, 삼쩜삼은 서비스를 유지할 수 있게 되었는데요. 검찰 조사는 또 어떤 결과가 나올지, 발표를 기다려 봐야겠어요. |
|
|
국정원, ‘챗GPT 등 생성형 AI 활용 가이드라인’ 배포
|
|
|
국가정보원이 국가보안기술연구소와 함께 마련한 ‘챗GPT 등 생성형 AI 활용 가이드라인’이 발표되었어요. 가이드라인은 생성형 AI 활용 과정 전반에서 지켜야 할 보안 사항을 단계별로 쉽게 안내하고 있어요. 외에도 챗GPT 관련 해외 동향과 보안 위협 사례도 확인할 수 있습니다.
이번 가이드라인은 공공기관과 지자체를 대상으로 작성된 문서이지만, AI 기술에 대해 처음으로 발표된 정부 차원의 보안 가이드라인인 만큼 민간 기업도 주의 깊게 살펴볼 필요가 있어요.
AI와 관련한 다른 가이드라인도 확인해보세요😊
|
|
|
Criteo, 타깃 광고 쿠키 관련 약 566억 원 벌금
|
|
|
애드테크 기업 Criteo가 프랑스 개인정보감독기구(CNIL)로부터 GDPR 위반으로 4천만 유로(약 566억 원)의 벌금을 받았다는 소식입니다.
한창 인터넷 쇼핑을 하다가 다른 사이트에 접속했는데, 그곳에서 내가 방금까지 보던 상품이 광고로 뜨는 경험, 모두 있으시죠? 이게 가능한 이유는 사이트에 설치되어 있던 ‘서드파티 추적 쿠키’를 통해 맞춤형 ‘타겟 광고’가 제공되기 때문이에요. 이러한 마케팅 방법이 Criteo의 주 비즈니스 모델이기도 하고요.
우리나라와는 달리 유럽에서는 사용자의 동의를 받은 다음에야 쿠키 수집이 가능하기 때문에, 대부분의 사이트들이 최초 접속 시 쿠키 수집 여부 팝업을 띄우며 동의 여부를 선택하지 않으면 다음 화면으로의 진행이 안 되게 막고 있죠. 하지만, Criteo는 ‘추적 쿠키’에 대해 사용자의 동의를 받지 않고 쿠키를 수집했으며, 동의를 철회한 사용자의 데이터도 삭제하지 않았어요. 이 외에도 정보 투명성 의무 위반 등 위반 사유가 발견되어 총 4천만 유로의 벌금이 내려졌어요.
사실 Criteo가 받게 될 벌금은 6천만 유로였지만, 다른 기업에 부과한 벌금에 비해 과도하다는 Criteo의 주장을 받아들여 4천만 유로로 벌금이 줄었어요. 여전히 Criteo 측은 벌금에 대해 부당하다며 항소하겠다는 입장을 보이고 있습니다. |
|
|
오늘의 프리-뷰는 어떠셨나요?
버튼을 눌러주시는 것만으로도 프리뷰 팀에 큰 힘이 됩니다 🙌 |
|
|
|
