Kant's IT/Issue on IT&Security

모두투어 개인정보 유출 사고: 늑장 공지와 무단 보관 논란

Kant Jo 2024. 9. 27. 20:49

[단독] 모두투어, 왜 이러나… 개인정보 유출 늑장 공지에 보관기간 넘긴 고객자료도 보유

 

[단독] 모두투어, 왜 이러나… 개인정보 유출 늑장 공지에 보관기간 넘긴 고객자료도 보유

모두투어가 홈페이지 해킹으로 인한 이용자 개인정보 유출을 통지하는 과정에서 일부 관련 법령을 위반했다는 의혹이 제기됐다. 해킹 사실을 인지하고도 3달 동안 이를 이용자에 알리지 않아 2

www.ngetnews.com

 

  • 개요
    • 모두투어에서 발생한 개인정보 유출 사건이 해킹 사실 인지 후 3개월이 지나서야 공지됨
    • 개인정보보호법에 따라 즉시 공지해야 함에도 불구하고 공지가 늦어지며, 일부 고객 정보 무단 보관 문제도 함께 발생
  • 해킹 및 유출된 개인정보 항목
    • 유출된 정보: 한글 및 영문 이름, 아이디, 생년월일, 핸드폰 번호, CI(연계정보), DI(중복정보)
    • 모두투어는 해킹 인지 후 악성코드 삭제IP 차단, 보안 시스템 강화를 진행했다고 발표
  • 법적 위반 가능성
    • 개인정보보호법에 따르면 개인정보 유출 사고72시간 이내에 관련 기관 및 이용자에게 통지해야 함
    • 모두투어는 3개월 후 공지하며, 성수기 매출 손실을 우려해 공지가 늦어진 것 아니냐는 의혹 제기
  • 무단 개인정보 보관 의혹
    • 보유 기간이 지난 개인정보가 삭제되지 않고 보관된 사실이 이번 사고로 드러남
    • 모두투어는 시스템 오류로 인해 일부 개인정보가 자동 삭제되지 않았음을 인정하며, 해당 문제를 조치 중이라고 밝힘
  • 이용자 2차 피해 우려
    • 유출된 개인정보로 인해 명의 도용, 보이스피싱, 스팸 문자 등의 2차 피해 발생 가능성 있음
    • 모두투어는 비밀번호 유출은 없었으나 이용자들에게 비밀번호 변경을 권장
  • 논란에 대한 대응
    • 모두투어는 개인정보보호위원회KISA와 논의 후 공지 시점을 결정했다고 주장
    • 그러나 개인정보보호위원회는 유출 인지 후 72시간 이내 통지가 의무임을 강조하며, 모두투어의 공지 지연에 대한 해명이 불충분하다는 의견
  • 결론
    • 개인정보 유출 사고 대응의 지연과 무단 보관 문제는 모두투어의 관리 소홀을 보여줌
    • 개인정보 보호 규정 준수보안 시스템 강화가 더욱 요구됨