IT 관리 / 보안

'잘못된 비즈니스 결정'이 또 다른 '내부자 위협'이 된 사례

Christopher Burgess | CSO 2022.04.05
비즈니스 전략 이행과 관련된 정책과 절차의 존재는 기업의 성숙도를 나타내는 중요한 척도다. 내부자가 법률 혹은 기업의 정책을 위반하는 결정을 내리면 비즈니스에 대한 위험이 커질 수 있다. 고의(절도)든 우발적(인적 오류)이든 신뢰하는 위치에 있는 개인이 정책이나 절차상 제약을 위반해 데이터가 분실되거나 대중에 공개되는 사례가 종종 발생한다. 
 
ⓒ Getty Images Bank

최근 미국 연방거래위원회(FTC)와 건강 관리 업체 WW(Weight Watchers), WW가 지분을 100% 소유한 자회사인 커보(Kurbo) 사이의 합의 명령은 내부자가 법을 무시하는 비즈니스 결정을 내렸을 때 어떤 일이 일어날 수 있는지를 명확하게 보여준다. 어린이/청소년 건강 관리 업체인 커보와 WW는 ‘13세 미만 어린이에게서 불법적으로 수집한 정보’를 모두 삭제하고 ‘해당 데이터에서 파생된 모든 알고리즘을 파괴’하기로 합의했으며, 150만 달러의 벌금을 지불하기로 했다.


스스로 저버린 지적 재산

지난 2017년 폭스바겐은 미국 배기가스 테스트 결과를 속이는 비즈니스 결정을 내렸다. 그 결과 폭스바겐은 43억 달러의 벌금을 지불하고 수백만 대의 피해자 차량을 재구매하도록 강요받았다. 관련 직원 6명도 기소됐다. 커보와 WW도 비즈니스에 직접적인 영향을 미치는 좋지 않은 결정을 내렸다. 미국 법무부가 직원을 기소할지는 아직 결정되지 않았다. 

보안 솔루션 업체 DTEX 시스템(DTEX Systems)의 엔지니어링 및 사이버 인텔리전스 SVP인 라지 쿠는 기업이 자사의 지적 재산권을 파괴하기로 정부와 합의한 사례는 본 적이 없다고 말했다. 쿠는 “이런 합의는 상당한 감사 추적(audit trail) 작업을 수반한다”라고 말했다. 

DTEX 시스템의 보안 및 비즈니스 인텔리전스 부문 이사 아르만 마보드는 “세상이 변하면서 이 같은 사례를 더 많이 목격하게 될 것이다. EU 및 미국의 데이터 보호법이 정보에 대한 개별 통제 방향으로 발전하면서 데이터 보유 기간의 투명성과 잊혀질 권리가 표준이 될 것”이라고 설명했다.


커보의 COPPA 위반

FTC에 따르면, 커보가 만 13세 미만 아동을 대상으로 마케팅 활동을 펼친 것은 ‘아동 온라인 개인정보보호법(Children’s Online Privacy Protection Act, COPPA)’을 직접적으로 위반한 것이다. 커보가  2014년(당시 독립 법인) 시작한 것은 ‘8세 이상의 어린이와 십대 및 가족이 사용할 수 있는 체중 관리 및 추적 서비스’였다. 그러다가 2018년 커보를 인수한 WW가 8세까지의 어린이를 대상으로 하는 서비스로 리브랜딩했다. 법원 문서에 따르면, 2014년부터 2020년 2월까지 27만 9,500명 이상이 커보를 사용했으며, 13세 미만의 어린이는 최소 1만 8,600명이었다. 

커보 앱은 사용자의 이름, 성별, 생년월일, 체중, 키, 전화번호, 음식 섭취량, 활동 수준과 같은 개인식별정보를 지속해서 요청했다. 2021년 8월 이전에는 활성 사용자의 데이터뿐 아니라 사용하지 않는 계정의 데이터까지 무기한으로 유지했다. 2021년 8월부터는 아동의 데이터를 3년 혹은 부모가 데이터 삭제 요청을 할 때까지 보유하도록 정책을 조정했다.

이에 미 법무부는 2022년 2월 16일 커보/WW의 서비스를 영구적으로 금지하고 금전적 민사 처벌을 받을 것을 요구하는 고소장을 제출했다. FTC 의장 리나 칸은 “WW와 커보는 8세까지의 어린이가 사용할 수 있는 체중 관리 서비스를 판매한 뒤 개인적이고 민감한 건강정보를 불법으로 수집했다. 따라서 FTC는 이들 기업에 부당하게 취득한 데이터를 삭제하고, 해당 데이터에서 파생된 알고리즘을 파기하고, 위법 행위에 대한 벌금을 지불할 것을 명령한다”라고 말했다.


알고리즘을 파괴에 대한 합의

일찍부터 COPPA를 무시하기로 결정한 커보는 미성년자를 보호하기 위해 만들어진 법을 전략적으로 사용한 것으로 보인다. 기업이 자사의 지적 재산 파기에 동의했다는 사실은 많은 것을 시사한다. 또한 기업이 지불하기로 동의한 벌금보다 실제로 비즈니스에 더 큰 손해를 입힐 수 있다. 커보의 알고리즘이 작성됐을 때, 누군가는 13세 이하의 사용자와 소통하기 위한 시장 차별화 전략이라고 추측했을 수 있다. 

커보와 WW는 1년 뒤 FTC에 컴플라이언스 보고서를 제출해야 한다. 두 회사는 앞으로 10년 동안 FTC의 지시에 따라 특정 기록을 작성하고 5년 동안 해당 기록을 유지해야 하는 등의 관리 감독도 받게 된다. 두 회사가 작성할 기록은 서비스를 제공하는 각 직원 등의 개인 기록, 완전한 컴플라이언스를 증명하는 데 필요한 기록, 모든 소비자 불만사항, 스크린샷을 포함한 마케팅 정보의 사본 등 다양하다.

쿠는 “기업이 데이터 보호법에 저촉되는 리스크를 최소화하기 위해서는 기업이 정책을 전달하는 방법과 코드 개발 수명 주기를 확실하게 검토하는 것이 중요하다”라고 조언했다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.