"매출 3%까지 과징금 나올수도…" 이커머스, '사이버 보안' 강화 분주
등록 2023.05.21 08:00:00수정 2023.05.21 16:41:16
개인정보 등 논란 지속…당국 조치 강화
9월 개정법 적용…보호조치·체계 등 마련
최근 정부와 당국의 사이버공격 관련 인식 강화에 더해 매출의 3%까지 과징금 부과가 가능해지는 개정 개인정보보호법 시행을 앞두고 업계의 경각심이 높아진 것으로 보인다.
21일 관련 업계에 따르면 이커머스 업체들은 각기 자사의 사이버보안 체계 안정성을 주장하고 있다. 보안 대응 매뉴얼이나 시스템을 강화하는 등의 모습도 엿보인다.
이커머스는 상거래가 이뤄지는 공간 특성상 공격의 먹잇감이 되곤 했다. 실제 고객 정보 유출, 도용 등은 잊을 만하면 터져 나오는 사안이다.
가까운 사례만 꼽아도 인터파크 상대 사이버 공격, G마켓 상품권 도용 논란 등이 있다.
이커머스 등 상대 사이버 공격은 우리 경제 활동에 혼란을 주고, 사회적 불안을 조성할 수 있다는 면에서 최근 특히 보안이 강조되고 있다.
이커머스 쪽 취약점을 통해 침투한 뒤 다른 분야 체계까지 공격이 이뤄질 수도 있어 안보 차원 접근이 필요한 시기이기도 하다.
이는 개인정보 관련 당국 조치가 강해진 모습으로도 반영되고 있다.
지난 10일 개인정보보호위원회는 서울대병원과 국토교통부에 과징금을 부과했다. 공공기관을 상대로 개인정보 관련 과징금이 부과된 건 이번이 처음이다.
서울대병원은 해킹 사고로 환자 등 개인정보 등이 유출된 게 문제가 됐다. 국토부는 건축행정 시스템 '세움터' 수정 오류로 개인정보가 유출된 점이 지적됐다.
이 가운데 서울대병원 사례는 외부 공격으로 인한 개인정보 피해에 대한 금전적 제재라는 면에서 향후 이커머스 업계에 시사하는 바가 있다.
수사기관은 북한 해킹 조직이 국내외 서버에 기반을 두고 서울대병원 서버의 취약점을 통해 내부망에 침입, 개인정보를 유출한 것으로 보고 있다.
비교적 전통적 기법인 '웹쉘' 공격이었는데, 개인정보보호위는 알려진 해킹공격을 탐지·방어하기 위한 서울대병원 측 조치가 부족했다고 봐 과징금을 조치했다.
![[서울=뉴시스] 지난 10일 최장혁 개인정보보호위원회 부위원장이 서울 종로구 정부서울청사에서 제8회 개인정보보호위원회 전체회의를 열고 있다. (사진=개인정보위 제공) 2023.05.10. *재판매 및 DB 금지](https://image.newsis.com/2023/05/10/NISI20230510_0001262283_web.jpg?rnd=20230510132029)
[서울=뉴시스] 지난 10일 최장혁 개인정보보호위원회 부위원장이 서울 종로구 정부서울청사에서 제8회 개인정보보호위원회 전체회의를 열고 있다. (사진=개인정보위 제공) 2023.05.10. *재판매 및 DB 금지
개정법은 오는 9월15일부터 시행되는데, 개인정보 관련 규제 위반 기업에 매출 3% 범위까지 과징금이 부과된다.
위반 행위와 관련 없는 매출액은 과징금 산정에서 제외되나, 기업 측이 매출액 산정 자료 제출을 거부하거나 거짓 자료를 내면 전체 매출액을 기준으로 추정해 부과하게 된다.
제재 환경 변화를 앞둔 업계에선 사전 감지 및 인증 강화 등 조치를 반영하고 있다.
SSG닷컴은 공격이 있는 경우에 대응해 피해를 예방하고, 피해가 발생하는 경우에도 이를 최소화하는 매뉴얼을 갖추고 강화하고 있다.
동일 단말기에서 다회 로그인 시도가 있는 경우 비밀번호 변경 대상자로 등록하거나 2단계 인증을 거치도록 하는 등 체계도 갖췄다.
G마켓은 24시간 보안 솔루션을 통해 피해 가능성을 주시하고 있다. 고객 계정 보호를 위한 비밀번호 변경 캠페인도 병행한다.
11번가는 디도스 공격 같은 무작위 시도 등을 탐지 방어 체계를 운영 중이다. 부정한 로그인 시도에 대해선 사전 차단, 계정 잠금 등 조치를 적용한다.
티몬은 보안 전문 인력을 늘렸으며, 각 단계 보안 솔루션을 확충했다. 파트너사에도 PC 보안 솔루션을 무료 제공하고 개인정보 유출 모니터링 체계를 구축했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
