(단독)SKT 이프랜드도 개인정보 노출 해프닝

이프랜드 이벤트에 입력한 개인정보, 검색사이트에 노출
당장 2차 피해 없다지만 판단 어려워
"기업 선제적 투자 해야…필요하다면 제도 강화해야"

2023-01-17 15:52:11 ㅣ 2023-01-17 16:01:38

[뉴스토마토 이지은 기자] SK텔레콤(017670) 메타버스 플랫폼인 이프랜드에서 개인정보가 잠시 노출되는 일이 발생했습니다. 서울경찰청 사이버범죄수사대가 조사 중인 LG유플러스(032640) 개인정보 유출 사건 외에 또 통신사에서 개인정보와 관련된 문제가 발생한 것입니다. 이프랜드 누적 사용자 수 1200만명(지난해 9월말 기준)과 LG유플러스 가입자 1595만명(지난해 11월말 기준)으로 사건의 경중은 다를 수 있습니다. SK텔레콤에 따르면 개인정보가 '유출'된 것이 아니라 검색 페이지에 '노출'된 것이고, 그 시간도 상대적으로 짧습니다. 하지만 보이스피싱 등 2차 피해로 이어질 가능성을 완전히 배제할 수 없는 만큼, 웹페이지에 대한 접근권한 관리 부실이나 허술한 고객정보 관리 문제의 경우 사건의 경중을 떠나 경각심을 늦추지 않는 것이 필요합니다.

이벤트 당첨 꿈꾸다 개인정보만 노출

이프랜드는 개인정보가 노출되는 사고가 발생했다는 공지를 지난 4일 처음 올렸습니다. 지난해 12월12일부터 12월25일까지 진행한 '크리스마스 if 산타를 찾아라' 이벤트와 두달 전 진행된 '이프랜드 할로윈 파티' 이벤트 참여고객의 이름, 휴대폰번호가 일부 검색 사이트에서 검색될 수 있는 상태임을 인지했으며, 조취를 취한 상태라는 내용입니다.

회사측은 "12월27일 개인정보가 노출되는 상태임을 인지했다"며 "이벤트 운영 업체의 이벤트 페이지 접근 권한 관리가 충분하지 못해 발생된 것임을 확인하고, 지체 없이 해당 페이지의 삭제 조치를 완료했다"고 설명합니다. 이후 10일에는 수상한 문자메시지를 받은 경우 포함된 URL 링크를 클릭하지 말 것, 수상한 애플리케이션(앱)이나 프로그램은 다운받지 말 것, 출처를 알 수 없는 앱 설치를 허용하지 않음으로 체크할 것 등에 대해 추가 공지를 했습니다.

SK텔레콤 이프랜드 개인정보 노출 관련 공지. (사진=홈페이지)

이프랜드로 로그인을 하고, 10월에는 할로윈 코스튬을 꾸며 할로윈 파티 유령 마을 랜드에서 인증샷을 찍어 올리면 추첨을 통해 아이폰14프로 외에 미니온풍기, 스타벅스 쿠폰 등을 경품으로 증정했습니다. 비슷한 형식으로 12월에는 캐릭터를 크리스마스 의상과 액세서리를 활용해 꾸민 후 크리스마스 랜드에 숨어있는 산타를 찾아 인증샷을 남기면 다이슨 에어랩부터 에어팟 스타벅스 쿠폰 등을 받을 수 있었습니다. 두 이벤트 모두 이름·휴대폰번호·이프랜드 프로필아이디를 입력해야 응모가 가능했는데, 응모 당시 제공한 정보가 고스란히 노출된 것입니다. 개인정보 유출 공지를 받은 한 고객은 "커피한잔 얻으려다 정보만 털렸다"고 하소연했습니다.

유출 경위에 대해 SK텔레콤은 "이벤트 운영 업체의 보안 관리가 허술했다"고 언급했습니다. 하지만 해당 이벤트들은 이프랜드 사용자 수를 늘리기 위해 SK텔레콤이 진행한 이벤트임을 감안할 때 1차적 책임은 결국 SK텔레콤 측에 있다고 볼 수 있습니다.

지난해 4월 진행된 이프랜드 벚꽃랜드 전경. (사진=SK텔레콤)

당장 2차피해 없다지만 판단 어려워…"제도 강화할 필요 있어"

개인정보보호법에 따라 1000명 이상 개인정보가 유출된 경우 개인정보보호위원회, 한국인터넷진흥원(KISA) 등에 관련 내용을 신고해야 합니다. 개인정보보호위원회는 17일 이프랜드 개인정보 유출건에 대해 "신고가 접수됐고, (개인정보 침해 범위 수준 등에 대해)들여다 보는 중이다"라고 말했습니다.

SK텔레콤은 "해당 이벤트 페이지를 삭제하고, 암호화 보완 등 조치도 완료해 현재까지 해당 사안으로 인한 피해 사례는 없는 것으로 파악된다"고 말했습니다. 또 "고객의 소중한 개인정보를 보호하기 위한 조치에 만전을 기하겠다"는 입장도 전했습니다.

이번 개인정보 노출 이후 2차 피해 사례가 아직 확인된 바 없지만, 한번 공개된 개인정보가 어떻게 악용되는지는 알 수 없는 노릇입니다. 또한 이번 사례에서 만약 시간 차를 두고 개인정보 유출로 이어질 경우엔 피해를 증명하기가 더욱 어렵게 됩니다.

유출 사고를 예방할 최선의 방법은 결국 기업들이 개인정보 정보보호 투자를 선제적으로 늘리는 것입니다. 최경진 가천대 법학과 교수(개인정보보호법학회장)는 "개인정보 유출에 따른 피해에 대해 법적으로 인과관계를 밝히는 것 자체가 쉽지 않을 뿐 아니라 인정되기까지 오랜 시간이 걸린다"며 "사업자들은 책임에 비례해 투자를 진행하는데, 리스크를 떠안을 수 있다는 시그널이 관찰되면 투자를 덜 진행하게 된다"고 말했습니다. 개인정보 노출 혹은 유출 사건이 지속된다면 법개정을 통해 규제에 나서는 게 필요하다는 설명입니다. 최경진 교수는 "불필요한 규제는 덜어야 하지만 개인정보를 보호하기 위한 투자는 선제적으로 진행돼야 하기에 어쩔 수 없이 규제로 가는 방법밖에 없다"고 강조했습니다.

이지은 기자 jieunee@etomato.com