보안

2020년 11월까지 가장 큰 데이터 보호법 위반 벌금 사례

Dan Swinhoe  | CSO 2020.12.08
취약한 보안, 은폐 또는 실수로 인해 발생한 해킹과 데이터 도난으로 인해 이들 기업은 총 13억 달러(약 1조 4,100억 원)에 달하는 비용을 지출했다. 
 
ⓒ Getty Images Bank

2019년 이후 데이터 침해에 대해 상당한 벌금이 부과되는 것은 각국의 규제당국이 개인 데이터를 적절하게 보호하지 않는 기업에 대해 심각하게 생각한다는 것을 의미한다. 메리어트(Marriott)는 1억 2,400만 달러(약 1,345억 원)의 벌금을 부과받았지만, 나중에 감액됐으며, 에퀴팩스(Equifax)는 2017년 침해에 대해 최소 5억 7,500만 달러(약 6,238억 원)를 지불하기로 합의했다.

2018년 이후에도 데이터 침해 사고는 계속 발생했다. 우버(Uber)는 2016년 침해 사고를 제대로 처리하지 못해 1억 5,000만 달러(1,629억 원)를 손실이 발생했다. 2016년 당시, 약한 보호와 강한 규제 속 의료 데이터도 큰 손실을 입게됐고, 이로 인해 미국 보건복지부(US Department of Health and Human Services, DHS)는 점점 더 많은 벌금을 징수했다.  


에퀴팩스: 최소 5억 7,500만 달러(약 6,235억 원) 

2017년, 신용 기관인 에퀴팩스는 데이터베이스 가운데 하나에서 패치가 적용되지 않은 아파치 스트럿츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 수개월동안 이 심각한 취약점을 수정하지 못했으며, 침해 흔적을 발견한 후에도 수주동안 대중에게 침해 사실을 알리지 않았다. 

2019년 7월, 에퀴팩스는 회사가 네트워크 안전 확보를 위해 합리적인 조치를 취하지 못한 이유로 미 연방거래위원회(Federal Trade Commission, FTC), 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)과 미국 50개 주에 5억 7,500만 달러를 지불하기로 합의했다. 
  
이 가운데 3억 달러(약 3,253억 원)는 피해를 입은 소비자에게 신용 모니터링 서비스를 제공하는 기금으로 사용된다. 초기 지불이 소비자에게 보상하기에 충분하지 않는 경우, 1억 2,500만 달러(약 1,355억 원)가 추가된다. 1억 7,500만 달러(약 1,898억 원)는 48개 주, 컬럼비아 특별구, 푸에르토리코에, 1억 달러는 CFPB로 전달된다. 합의를 통해 에퀴팩스는 2년마다 정보보안 프로그램에 대한 서드파티 평가를 받아야 한다. 

FTC 위원장 조 시몬스는 “개인정보로 이익을 얻는 기업은 해당 데이터를 보호하고 안전을 확보해야 할 책임이 있다. 에퀴팩스는 약 1억 4,700만 명의 소비자에게 영향을 미치는 침해 사고를 방지할 수 있는 기본적인 조치를 취하지 않았다”라고 말했다. 

또한 에퀴팩스는 이 사건에 대해 영국에서 이미 62만 5,000달러(약 6억 8,000만 원)의 벌금을 부과받았으며, 이는 GDPR 이전 데이터 보호법 시대의 최대 벌금이었다. 

2020년 에퀴팩스는 해당 사건과 관련해 미국의 금융기관에 775만 달러(약 84억 원, 법률 수수료 200만 달러(약 22억 원) 추가)에 메사추세츠 주와 인디애나 주에 각각 1,820만 달러(약 197억 원)와 1,950만 달러(약 211억 원)를 추가로 지불했다.   


홈 디포: 최소 2억 달러(약 2,169억 원)

2014년, 홈 디포(Home Depot)는 POS(Point of Sale) 시스템과 관련해 현재까지 가장 큰 데이터 침해 사고를 당해 수많은 벌금과 합의금을 지불했다. 공격자는 서드파티 자격 증명을 통해 홈 디포의 네트워크에 침입해 권한을 상승시키고 결국 POS 시스템을 해킹할 수 있었다. 홈 디포는 2014년 4월부터 9월까지 5개월동안 5,000만 개의 신용카드 번호와 5,300만 개의 이메일 주소가 도난당했다. 

보도에 따르면, 홈 디포는 이 침해 사고로 인해 신용카드 업체와 은행에 최소 1억 3,450만 달러(약 1,458억 원)를 지불한 것으로 알려졌다. 또한 2016년 홈 디포는 피해를 입은 고객에게 신용 모니터링 서비스 비용을 포함해 1,950만 달러(약 211억 원)를 지불하기로 합의했다. 2017년 홈 디포는 피해자들이 주장한 침해로 피해를 입은 금융기관에 2,500만 달러(약 272억 원)를 추가로 지불하고 은행의 손실을 보상하기로 합의했다.  

위반은 특히 벌금과 합의금과 관련해 더 많은 비용을 초래할 수 있다. 2020년 11월, 홈 디포는 미국 46개 주와 워싱턴 DC에 추가로 1,750만 달러(약 190억 원)를 지불했다. 이 합의는 홈 디포가 자격을 갖춘 CISO를 고용하고, 주요 직원에 대한 보안 교육을 제공하고, ID 및 접근, 모니터링 및 사고 대응 등과 같은 분야에서 보안 제어 및 정책을 강제했다. 

 
우버: 1억 4,800만 달러(약 1,605억 원)

2016년 차량 호출 앱 우버는 60만 명의 운전자와 5,700만 명의 사용자 계정을 유출했다. 우버는 이 사건을 신고하지 않은 채, 해킹 당한 사실을 감추기 위해 공격자에게 10만 달러를 지불했다. 이런 행동은 기업 자체에 막대한 손실을 가져왔다. 우버는 2018년 데이터 유출 신고법 위반으로 사상 최대 규모의 데이터 침해 벌금인 1억 4,800만 달러의 벌금을 부과받았다.  


야후: 8,500만 달러(약 922억 원) 

2013년 야후(Yahoo)는 전체 데이터베이스인 약 30억 계정, 거의 웹 인구 전체에 영향을 미치는 대규모 보안 침해를 당했다. 그러나 야후는 이 정보를 3년동안 공개하지 않았다.

2018년 4월, 미국 증권거래위원회(Securities and Exchange Commission, SEC)는 침해 사실을 공개하지 않은 야후에 대해 3,500만 달러(약 380억 원)의 벌금을 부과했다. 9월, 야후의 새로운 주인인 알타바(Altaba)는 5,000만 달러(약 542억 원) 규모의 배임에 따른 집단 소송을 해결했다고 인정했다. 30억 계정에 대한 총 청구액 8,500만 달러는 유출 기록당 약 36달러인 셈이다. 


캐피털 원: 8,000만 달러(약 867억 원) 

2019년 캐피탈 원(Captial One) 은행은 미국에서 1억 명, 캐나다에서 600만 명에게 피해를 입혔다. 캐피탈 원은 나중에 전 아마존 웹 서비스 소프트웨어 엔지니어인 페이지 톰슨으로 알려진 외부 개인이 회사의 웹 애플리케이션 방화벽의 구성 취약점을 통해 캐피탈 원 신용카드 고객과 신용카드 제품을 신청한 사람들의 개인정보를 획득했다고 말했다. 

수집된 정보에는 이름, 주소, 우편번호, 전화번호, 이메일 주소, 생년월일, 자체 신고 소득, 신용 점수, 신용 한도, 잔액, 지불 내역, 연락처 정보, 거래 데이터 조각, 일부 사회보장번호 및 일부 은행 계좌번호가 포함됐다. 
 
미국 통화감독청(The Office of the Comptroller of the Currency, OCC)는 캐피탈 원이 운영 시스템을 퍼블릭 클라우드 환경으로 마이그레이션 할 때 효과적인 위험 평가 프로세스를 수립하지 못한 것과 결함을 적시에 수정하지 못한 것에 대해 8,000만 달러의 벌금을 부과했다. 


모건스탠리: 6,000만 달러(약 651억 원)

침해사고를 당한 것은 아니지만 하드웨어 폐기 프로세스를 제대로 수행하지 않은 모건스탠리(Morgan Stanley)는 벌금을 부과받았다. 2020년 10월, OCC는 2016년 미국 데이터센터 2곳의 자산관리 데이터가 포함된 하드웨어를 제대로 폐기하지 않은 모건 스탠리에 대해 6,000만 달러의 벌금을 부과했다.  

OCC 측은 모건스탠리가 센터를 폐기하면서 '적절한 감독을 하지 못했다'고 밝혔다. OCC는 하드웨어 폐기와 관련된 위험을 제대로 평가하거나 해결하지 못했으며, 서드파티 공급업체 사용에 대한 실사 결여, 공급업체 성능 모니터링, 해당 기기에 저장된 고객 데이터의 적절한 인벤토리 유지 관리 실패 등의 문제를 거론했다.    

OCC는 모건스탠리가 2019년에 WAAS(Wide Area Application Services)의 폐기와 관련해 유사한 공급업체 관리 제어 결함을 겪었지만, 이후 시정 조치를 취했으며, 이 결함을 해결하기 위해 필요한 조치를 취할 것을 약속했다고 전했다. 

모건스탠리는 이전 관행의 결과로, 고객 정보가 침해당하거나 오용된 것은 아니라고 성명을 발표했지만 이와 관련해 500만 달러(약 54억 원)의 데이터 침해 소송에 직면했다. 


영국항공: 2,620만 달러(약 285억 원)

엄청난 벌금 규모에 대해 온갖 위협과 유언비어가 난무하는 가운데, EU의 개인정보보호법(General Data Protection Regulations, GDPR)의 첫 12개월 동안 처벌 조치가 거의 없었다. 데이터 침해와 관련해 유럽 전역의 데이터 보호업체들이 받은 벌금은 수만에서 수십만 유로에 불과했으며, 이는 이전 규정에 따른 벌금과 일치했다. 

공격집단인 메이지카트(MageCart) 그룹이 카드 스키핑 스크립트(card-skimming scripts)를 사용해 2주동안 영국항공 내 최대 50만 명 개인정보를 수집한 것과 관련해 영국 데이터보호기관인 ICO는 영국항공에 대해 1억 8,300만 파운드(약 2,649억 원)의 벌금을 부과했다. 이 엄청난 벌금 부과는 당시 보안 상황을 크게 바꿨다.

ICO의 조사 결과에 따르면, 영국항공의 보안 조치가 부실했던 것으로 밝혀졌다. 영국항공 벌금은 GDPR이 실효성이 있고, 데이터 보호 당국이 권한을 행사하는 것을 두려워하지 않는다는 걸 보여줬다. GDPR이 보안을 이사회 의제로 상향 조정하는 주요 동인이었다는 점을 감안할 때, 개인정보보호/준수가 보안 프로그램을 더욱 강화할 수 있는 새로운 동기를 부여했다. 

그러나 최종적으로 영국항공이 지불해야 하는 금액은 크게 줄었다. 수 개월의 지연과 협상 끝에 ICO는 '영국항공이 고객 40만 명의 개인 및 금융 정보를 보호하지 못했다'는 이유로 벌금 2,000만 파운드(약 290억 원)로 결정했다. 

최종 결정은 처음 부과한 벌금과 비교하면 훨씬 적지만, ICO가 내린 벌금 가운데 가장 큰 금액이며, 열악한 보안 관행의 위험성을 강조한다. 영국의 이전 데이터보호 규정에 따라 부과될 수 있었던 가장 큰 벌금은 50만 파운드(약 7억 원)였다. 
  
ICO는 최종 벌금을 검토하면서 영국항공의 고지와 코로나19 지침 등을 고려해 '경제적 영향 및 감당할 수 있는 비용'을 책정했다고 명시했다. 이는 코로나19 전염병으로 고군분투하는 항공사가 원래 벌금에서 큰 할인을 받은 이유를 설명해준다. 그러나 영국항공은 앞으로 대규모 집단소송에 직면할 수 있다. 
  
호텔 체인 메리어트 인터내셔널(Marriott International)은 ICO의 9,900만 파운드(약 1,433억 원)의 벌금이 50% 정도 삭감될 것으로 예상한다고 밝혔으나, 이 성명 이후 또 다른 침해 사고를 겪었다.  


매리어트 인터내셔널: 2,370만 달러(약 257억 원)

GDPR의 벌금은 마치 버스와 같다. 1년동안 기다렸다가 동시에 나타난다. 영국항공에 기록적인 벌금이 부과된지 불과 며칠 만에 ICO는 데이터 침해에 대한 두번째 많은 벌금을 부과했다. 매리어트 역시 영국항공과 마찬가지로 오랜 협상 끝에 최종 벌금은 대폭 감소했다. 

메리어트 인터내셔널은 최대 5억 명의 고객 결제 정보, 이름, 주소, 전화번호, 이메일 주소, 여권 번호가 유출했는데, 처음에는 9,900만 파운드(약 1,433억 원)의 벌금을 부과받았다. 이 침해 사고의 원인은 메리어트의 자회사인 스타우드(Starwood)였다. 공격자는 2015년 메리어트가 인수한 후 최대 4년동안 스타우드 네트워크에 있었던 것으로 추정된다. 

ICO 측은 성명을 통해 "메리어트는 스타우드를 인수했을 때 충분한 실사를 수행하지 못했고, 시스템 보안을 위해 더 많은 일을 해야했다"라고 밝혔다. 메리어트 CEO 안 소렌슨은 최초의 벌금에 대해 '실망스럽다'고 말했으며 이의를 제기할 것이라고 말했다.   

그러나 ICO가 영국항공에 부과한 벌금과 마찬가지로 최종적인 벌금은 훨씬 적었다. 메리어트는 실제로 1년 이상을 지연, 협상한 결과, 1,840만 파운드(약 266억 원)를 지불하게 됐다. 규제당국은 메리어트가 자사의 시스템에서 처리되는 개인 데이터에 대해 적절한 보호 조치를 취하지 못했다고 말했지만, 사고가 고객에게 미치는 영향과 코로나19로 인한 경제적 영향을 완화하기 위해 벌금을 축소했다. 메리어트는 성명에서 "이번 결정을 인정하고 항소하지 않을 것"이라고 말했다. 또한 해당 사건에 대해 깊은 유감을 표했지만, 책임을 인정하지 않는다고 밝혔다.    

영국항공과 마찬가지로 최종 부과 벌금은 처음에 발표된 금액에 비해 크게 줄었지만, 영국의 규제기관이 이전 데이터보호법을 통해 부과할 수 있는 것보다 훨씬 많았으며, 영국 당국이 부과한 데이터 침해 벌금 가운데 두 번째로 높은 금액이다.  

한편 메리어트는 GDPR 법률이 아닌 터키 데이터 보호 당국으로부터 이번 침해 사고로 인해 150만 리라(약 2억 원)의 벌금을 부과받았는데, 이는 한번의 침해 사고로 인해 전 세계 각국으로부터 여러 건의 벌금을 받을 수 있음을 보여줬다. 


테스코 은행: 2,100만 달러(약 228억 원)

영국 슈퍼마켓 체인의 소매 금융업체인 테스코 은행(Tesco Bank)은 2016년 9,000개 고객 계정에서 300만 달러(약 33억 원) 남짓한 돈을 도난 당한 후, 2018년 영국 금융행위감독청(Financial Conduct Authority, FCA)으로부터 1,640만 파운드(약 238억 원)의 벌금을 부과받았다. FCA는 테스코의 직불카드, 금융 범죄 제어 시스템 및 금융 범죄 운영팀의 결함에 대해 책임을 물었다.


타겟: 1,850만 달러(약 201억 원) 

2017년 대형 소매업 체인인 타겟(Target)은 블랙 프라이데이 기간에 판매가 급증하는 동안 약 4,000만 개의 신용 및 직불 카드 계정이 도난당한 2013년 침해 사건과 관련해 47개 주 및 컬럼비아 특별구와 1,850만 달러의 합의에 동의했다. 이후 조사에서 최대 7,000만 명의 개인 이름, 주소, 전화번호 및 이메일 주소도 유출된 것으로 드러났다. 침해와 관련해 타겟이 소요한 총 비용은 2억 달러(약 2,169억 원)가 넘는다. 


엔섬: 1,600만 달러(약 174억 원)

2015년 미국 의료보험업체인 엔섬(Anthem)은 7,900만 명에게 영향을 미친 침해 사고를 당했다. 침해 사항에는 이름, 생년월일, 사회보장번호, 의료 ID가 포함되었다. 2018년 10월, 엔섬은 미국 보건복지부의 건강보험 양도 및 책임에 대한 법(Health Insurance Portability and Accountability Act, HIPAA) 위반으로 1,600만 달러의 벌금을 부과받았다. 이 침해 사고와 관련한 총 비용은 해당 벌금과 함께 데이터 침해와 관련한 집단소송을 해결하기 위해 2017년에 지불해야 했던 1억 1,500만 달러(약 1,247억 원)가 포함한다.

2020년 엔섬은 데이터를 보호하지 못했지만, 사고에 대한 책임은 받아들이기를 거부했다. 이를 해결하기 위해 미국 여러 주에게 추가로 3,950만 달러(약 428억 원)를 지불하기로 합의했다. 엔섬은 성명에서 "데이터 보안과 관련해 법을 위반하지 않았으며, 이번 합의에서도 위반을 인정한 것은 아니다"라고 밝혔다. 


구글: 750만 달러(약 81억 원)

일반적으로 독점 및 반독점 관련 벌금과 관련해 2020년 구글은 2건의 구글 플러스(Google+) 사건에 대한 집단 소송을 해결하기 위해 750만 달러를 지불하는 데 합의했다. 구글은 원래 개발자가 비공개로 표시된 데이터에 접근할 수 있도록 허용하는 구글 플러스 API 버그를 공개한 후, 2018년 10월에 구글 플러스 소셜 네트워크를 종료할 계획이라고 발표했다. 구글은 이 버그가 악용된 증거가 없다고 주장했지만, 400개 이상의 애플리케이션이 이 API를 사용했고, 50만 개 이상의 계정에 영향을 줄 수 있다는 사실을 인정했다. 

2개월 후, 구글은 구글 플러스와 관련해 두 번째 사건을 발표했다. 이는 또 다른 API 문제로 개발자가 5,250만 명의 사용자의 개인 프로필 정보에 접근을 허용하게 되면서, 구글은 원래 언급했던 것보다 4개월 일찍 종료했다. 구글은 이 버그에 대한 악용 사례는 없다고 말했다. 

2018년에 2건의 집단 소송이 제기됐지만, 나중에 하나로 통합됐으며, 2020년 1월에 2015년 1월부터 2019년 4월 4일 사이에 구글 플러스 계정을 사용하는 모든 사용자에게 비공개 정보를 노출한 것에 대해 각각 5달러(약 5,400원)에서 12달러(약 1만 3,000원)를 지불하도록 합의했다.  


프리메라 블루 크로스: 685만 달러(약 74억 원)   

사건은 정기적으로 발생했지만, 2020년에는 징벌적 벌금에 대해서는 대체로 조용했다. 그러나 9월 워싱턴에 본사를 둔 건강보험업체인 브리메라 블루 크로스(Premera Blue Cross, PBC)는 HIPAA 위반으로 685만 달러의 벌금을 부과받았다. 미국 보건복지부(Department of Health and Human Services, HHS) 민권담당국(Office for Civil Rights, OCR)은 프리메라가 1,040만 명 이상의 사람에게 영향을 미친 침해 사실을 발견한 후, 벌금을 부과했다. 

2015년 3월, PBC는 사이버 공격자가 자사의 시스템을 무단으로 접근한 것에 대해 신고했다. 2014년 피싱 공격은 거의 9개월 동안 탐지되지 않았고, 그 결과 이름, 주소, 생년월일, 이메일 주소, 사회보장번호, 은행 계좌 정보 및 건강 보험, 임상 정보를 포함해 1,040만 명 이상의 개인의 건강 정보가 공개됐다.  

OCR의 조사에 따르면, 위험 분석 수행, 위험 관리 구현 또는 감사 통제 실패를 포함해 HIPAA 요구 사항에 대한 '체계적인 비준수'가 발견됐다. OCR은 이런 문제를 이유로 사상 두 번 째로 큰 HIPAA 벌금을 부과했다. 

 
텍사스 대학교 MD 앤더슨 암 센터: 430만 달러(약 47억 원) 

2018년 6월, 판사는 HIPAA를 위반한 텍사스 대학교 MD 앤더슨 암센터(The University of Texas MD Anderson Cancer Center)에 대해 430만 달러의 벌금을 부과하기로 한 결정을 지지했다. 이 암 센터는 2012년과 2013년 사이에 3건의 데이터 유출로 인해 3만 3,500명이 넘는 개인의 건강정보를 유출했다. 어떤 경우는 직원의 집에서 암호화되지 않은 노트북을 도난 당했다. 다른 2가지 보안 침해는 암호화되지 않은 USB 도난과 관련이 있다. 


프레세니우스 메디컬 케어 노스 아메리카: 350만 달러(약 38억 원) 

2018년 2월, 프레세니우스 메디컬 케어 노스 아메리카(Fresenius Medical Care North America, FMCNA)는 2012년 2월과 7월 사이에 서로 다른 위치에서 5건의 별도 침해를 당한 후, 350만 달러의 벌금을 받았다. 

OCR은 조사를 통해 FMCNA가 다른 기관에서 저장 중인 모든 건강 정보의 기밀성, 무결성, 가용성에 대한 잠재적 위험과 취약점에 대한 정확하고 철저한 위험 분석을 수행하지 못했다고 밝혔다. 또한 시설 및 장비에 대한 무단 접속을 방지하지 않음, 건강 데이터를 암호화하지 않음, 건강데이터를 보관하는 전자 매체 제거를 통제하지 않음, 보안 사고 절차 미비 등의 책임을 물었다. 
 

코티지 헬스, 터치스톤 메디컬 이미징, 로체스터 대학 메디컬 센터: 각각 300만 달러(약 33억 원) 

2019년에는 3건의 대규모 HIPAA 위반이 있었다. 코티지 헬스(Cottage Health), 터치스톤 메디컬 이미징(Touchstone Medical Imaging), 로체스터 대학 메디컬 센터(University of Rochester Medical Center, URMC)에 각각 300만 달러의 대규모 벌금이 부과됐다. 

2013년에 1건, 2015년에 1건의 위반으로 코티지 헬스는 6만 2,500명 이상의 개인전자보호건강정보(electronic Protected Health Information, ePHI)가 유출됐다. 2개의 사건 모두 인터넷을 통해 접속할 수 있는 ePHI를 보유하는 서버와 관련됐다.   

미국 테네시 소재 터치스톤 메디컬 이미징은 노출된 FTP 서버를 통해 30만 명 이상의 환자 PHI를 온라인으로 볼 수 있게 노출한 결과, 300만 달러의 벌금을 부과받았다. 터치스톤은 2014년 FBI로부터 이 노출에 대해 통보를 받았지만, 환자 PHI는 노출되지 않았다고 주장했다. 

HHS는 “터치스톤이 FBI와 OCR에서 침해 사실을 통보받은 후 수개월이 지나도록 보안 사고를 철저히 조사하지 않았다”라고 밝혔다. 또한 침해의 영향을 받은 개인에 대한 통지가 시의적절하지 않았다고. 이에 대해 터치스톤 측은 잠재적 위험에 대해 정확하고 철저하게 분석하지 못했다. 보안 공급업체와 제휴 계약을 맺지 못했다”라고 설명했다. 
 
2019년 11월, 로체스터 대학 의료 센터는 모바일 기기 암호화 실패로 300만 달러의 벌금을 물었다. 의과대학, 치과대학 및 스트롱 메모리얼 병원(Strong Memorial Hospital, SMH)을 포함하는 이 센터는 2013년 암호화되지 않은 플래시 드라이브를 분실했으며, 2017년 암호화되지 않은 노트북을 도난당했다. 2010년 URMC는 암호화되지 않은 드라이브를 통해 보안 침해를 당해, 신고했음에도 불구하고 개인 건강 정보를 제대로 보호하지 못한 것에 대해 벌금을 부과받았다.  


잭슨 헬스 시스템: 215만 달러(약 23억 원)

미국 플로리다에 있는 여러 병원과 의료 센터를 운영하는 마이애미 비영리 학술의료 시스템인 잭슨 헬스 시스템(Jackson Health System, JHS)에서도 대규모 HIPAA 위반 사건이 발생했다. JHS는 2013년부터 2016년까지 여러 위반 사건에 대해 DHS로부터 215만 달러의 벌금을 부과받았다.
  
2013년 JHS는 756명의 환자에 대한 종이 기록의 손실을 DHS에 보고했지만, 내부 조사 결과, 3상자의 환자 기록을 손실한 것에 대해서는 보고하지 않았다. 2015년 JHS는 2명의 직원이 업무 목적성이 없는 환자의 전자의료기록에 접속했음을 발견했다. 2016년 JHS는 직원이 2011년 이후 총 2만 4,000명의 환자 기록을 판매하고 있다는 사실을 발견한 후, 해당 위반 사실을 신고했다. 


티켓마스터: 125만 파운드(약 19억 원) 

미국에 본사를 둔 이벤트업체인 티켓마스터(Ticketmaster)는 결제 페이지에서 안전하지 않은 챗봇이 유럽 전역에서 940만 명의 고객을 노출시켰다. GDPR에 따라 125만 파운드의 벌금을 부과받았다. 

공격자가 인벤타(Inbenta) 챗봇 서버를 해킹해 티켓마스터가 고객 서비스에 사용하는 챗봇의 자바스크립트에 악성코드를 삽입했다. 이 코드는 사용자가 입력한 개인 데이터를 스크랩했고, 티켓마스터가 결제 페이지에 챗봇을 포함했기 때문에 감염된 봇은 이름, 결제 카드 번호, 만료 날짜, CVV 번호와 같은 금융 데이터를 수집할 수 있었다. 

티켓마스터는 2018년 4월, 온라인 은행인 몬조(Monzo)로부터 부정 지급 사실을 통보받았지만, 내사 결과 배임 증거를 발견하지 못했다고 은행에 통보했다. 이후 더 많은 은행이 유사한 활동을 보고하자, 여러 사고 대응 업체와 협력해 조사한 후, 결국 2018년 6월 규제당국에 침해 사실을 보고했다. 

영국의 규제당국은 티켓마스터가 결제 페이지에 챗봇 사용의 위험을 제대로 평가하지 못했거나, 챗봇 주변의 위험을 무효화하기 위한 적절한 보안 조치를 취하지 못했다는 사실을 발견했다.  

ICO는 이 침해 사건이 GDPR이 5월 25일 발효되기 전인 2018년 2월에 시작되어, 감염된 챗봇은 6월에 티켓마스터의 영국 웹사이트에서 완전히 제거됐기 때문에 그 사이에 벌금을 부과한다고 밝혔다. 


1&1 텔레콤: 90만 유로(약 12억 원)

대규모 GDPR 벌금을 부과한 곳은 영국의 ICO만이 아니다. 독일 웹 호스팅 업체 1&1 텔레콤은 권한이 없는 사람이 고객 서비스 부서를 이용해 고객 데이터에 접근하는 것을 막기 위해 ‘충분한 기술적, 조직적 조치’를 취하지 않아 독일의 연방데이터보호정보자유위원회(Federal Commissioner for Data Protection and Freedom of Information, BfDI)로부터 1,060만 달러(약 115억 원)의 벌금을 부과받았다. 고객 데이터 인증 프로세스가 부실해 발신자가 정보를 원하는 사람의 이름과 생년월일만 제공하면 다른 고객에 대한 정보를 얻을 수 있었다.  
 
그러나 영국항공과 메리어트에 대한 영국 ICO의 벌금과 마찬가지로 최종 벌금은 상당히 감소했다. 물론 벌금을 낮춘 것은 규제 기관이 아니었다. 2020년 11월, 본 지방법원(Landgericht)은 불균형적이라는 이유로 벌금을 90만 유로로 깍았다. 

1&1 텔레콤은 수익에 비해 벌금 규모가 과도하다고 주장하면서 법원의 원래 결정에 이의를 제기했다. 법원은 1&1의 보안 조치가 충분하지 않다고 판결했지만, 가벼운 위반에 대한 벌금으로는 불균형적이라고 판단했다. 


에퀴팩스, 페이스북, DSG 리테일, 캐세이퍼시픽 항공: 각각 65만 달러(약 7억 원)

영국의 4개 회사는 운이 좋았다. 2018년 영국 정보당국은 GDPR 전 데이터보호법에 따라 에퀴팩스와 페이스북에 벌금을 부과했는데, 이 법에서는 데이터 유출에 대한 최고 과징금이 65만 달러에 불과했다. GDPR에 따르면, 처벌은 훨씬 더 높을 수 있었다. 페이스북은 케임브리지 애널리티카(Cambridge Analytica) 데이터 사건으로 인해 벌금을 물었고, 에퀴팩스는 2017년 침해로 9월, 최고 벌금형을 선고받았다.  

GDPR이 도입된 지 거의 2년이 지난 2020년 초, 규제 당국은 기존 데이터 보호법에 따라 2개의 회사에 벌금을 부과했다. 영국 소매업체인 DSG 리테일(DSG Retail Limited)은 자회사인 커리스 PC 월드(Currys PC World)와 딕슨 트래블(Dixons Travel) 매장에서 5,000대 이상의 컴퓨터에서 POS 악성코드가 발견돼 벌금을 부과받았다. 다만 GDPR 시행 전인 2017년 7월에 공격이 시작되어 신규 규정 시행 후인 2018년 4월까지 정보를 수집하고 있었는데, 종전 법의 최고형인 65만 달러가 적용됐다. 

이 공격으로 공격자는 이름, 우편 번호, 이메일 주소, 내부 서버의 신용 조회 오류 등 약 1,400만 명의 개인정보와 560만 개의 결제 카드 세부 정보에 무단 접속이 가능해졌다. ICO는 회사가 보안 체계가 미흡했다며, 패치 적용, 로컬 방화벽, 망 분리, 일상적인 보안 테스트 등 개인 데이터를 보호하기 위한 적절한 조치를 취하지 않았다고 말했다. 이에 앞서 ICO는 2018년 1월, DSG의 카폰 웨어하우스(Carphone Warehouse)에 유사한 결함으로 40만 유로(약 5억 원)의 벌금을 부과한 바 있다.

중국 항공사인 캐세이퍼시픽(Cathay Pacific)은 2020년 3월, 고객의 개인 데이터 보안을 지키지 못한 이유로 데이터 보호법 상 최대 벌금을 부과받았다. ICO는 2014년 10월부터 2018년 5월까지 캐세이퍼시픽의 시스템이 적절한 보안 조치를 취하지 못해 고객의 개인정보가 노출됐다고 판결했다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.