지난 5월 세계 최대 정육업체 JBS의 미국 법인 JBS USA 전산망이 해킹 공격을 받았다. 이 공격으로 5월 30일 미국과 캐나다, 호주에 있는 JBS 일부 육류 가공 공장과 도축장이 멈춰섰다.
브라질 기업인 JBS는 미국을 비롯해 남미, 호주, 유럽 등 약 100여개국에 육류를 공급하는 세계 최대 정육업체다. 트레이 멀론 미시간주립대 농업학 교수에 따르면, 이 회사가 하루 문을 닫으면 미국 전체 하루 소고기 생산량의 4분의 1(소 2만마리분)이 사라질 수 있다. 실제 미국 농무부는 6월 1일 “미국 내 소 도축량이 1주일 전보다 22% 줄어든 것으로 추정된다”고 밝혔다.
사고 발생 일주일 후, JBS가 해커집단에 1100만달러(약 122억 원) 상당의 비트코인을 지급한 사실이 드러났다. 랜섬웨어(ransomware⋅컴퓨터나 중요 파일을 강제로 암호화한 뒤 피해자에게 돈을 요구하는 악성 프로그램) 공격에 몸값을 지불하는 방식으로 해결에 나선 것이었다. 미 연방수사국(FBI)은 이 공격의 배후로 러시아 랜섬웨어 조직 레빌(REvil), 소디노키비(Sodinokibi)를 지목했다.
안드레 노게이라 JBS 미국 법인장은 미 월스트리트저널(WSJ)에 “전산 담당 부서가 일부 서버가 오작동한다는 사실을 알아챈 직후 ‘전산망에 다시 접근하려면 돈을 내라’는 메시지를 발견했다”며 “즉시 FBI에 신고하고 회사의 외부 자문들이 해커들과 몸값을 협상했다”고 밝혔다.
그는 “우리 공장이나 관련 업계에 더 큰 피해를 입히지 않기 위해 (몸값을) 지급했다”며 “범죄자에게 돈을 준 건 고통이었지만, 그 덕에 공장을 재가동할 수 있었고 데이터 유출도 없었다”고 했다.
◇ 맥주기업·맥도날드 잇달아 해킹 공격… 피해 규모 17년 만에 최대
국내외를 막론하고 유통기업들이 잇따른 해킹 공격으로 몸살을 앓고 있다. 글로벌 맥주업체 몰슨쿠어스는 지난 3월 사이버 공격을 받아 주류 생산·배송에 차질이 생겼고, 피해를 복구하는 데 하루 이상이 걸린 것으로 알려졌다.
지난 6월엔 맥도날드 본사가 해킹 공격을 받았다. 이 공격으로 한국·대만·미국의 고객과 직원의 이메일, 전화번호, 주소 등 정보 데이터가 유출됐다. 당시 한국맥도날드는 “해당 데이터에 한국, 대만 고객들의 결제 정보와 비밀번호는 포함되지 않았다”며 “본사로부터 해킹 사실을 전달받고 개인정보보호법에 따라 한국인터넷진흥원에 즉각 정보 유출 건을 신고했다”고 밝혔다.
해킹 피해 규모도 커졌다. IBM 보안사업부인 IBM시큐리티가 포네몬연구소와 발표한 ‘2021년 데이터 유출 비용 보고서’에 따르면, 대상 기업들은 데이터 유출 사고로 평균 424만달러(약 49억 원)의 손실을 본 것으로 나타났다.
이는 전년보다 약 10% 증가한 규모로, IBM시큐리티가 같은 조사를 진행해 온 17년 중 최대치다. 2020년 5월부터 2021년 3월까지 전 세계 17개국 537개 기업(한국 기업 27개 참여)을 조사해 나온 결과다.
특히 랜섬웨어 공격으로 인한 피해가 다른 유형의 해킹 피해보다 큰 것으로 조사됐다. 랜섬웨어 공격에 따른 건당 데이터 유출 사고 비용은 462만달러(약 53억 원)로, 전체 평균 손실액을 뛰어넘었다. 이 비용엔 해커집단에 지불한 비용은 포함되지 않았다. 만약 이 비용까지 포함된다면 피해 규모는 천정부지로 커진다.
◇ 해외, 정보 유출 기업에 강력한 과징금 부과...한국은 솜방망이 처벌 그쳐
해외에서는 해킹으로 인한 고객 정보 유출에 대한 책임을 기업에 물으며 보안 시스템 강화를 유도한다.
유럽연합(EU)의 일반데이터보호규정(GDPR)이 대표적이다. GDPR은 EU가 2018년부터 EU회원국에 일괄적으로 적용한 규정으로, EU 내 사업장을 운영하는 기업뿐만 아니라 전자상거래 등을 통해 해외에서 EU 주민의 개인정보를 처리하는 기업에도 적용된다.
GDPR의 과징금 규정은 위반 사안의 경중에 따라 최대 전 세계 매출액의 4% 또는 2000만유로(약 274억 원) 중 높은 금액을 부과한다. 예컨대 영국 정보위원회(ICO)는 지난 2019년 글로벌 호텔 체인 메리어트 인터내셔널에 9920만파운드(약 1578억 원)의 벌금 부과 계획을 통보했다.
메리어트는 지난 2018년 8월 자사 계열 스타우드 호텔의 예약 시스템에 외부 접근이 있었던 점을 인지하고 내부 보안 시스템 조사를 실시했다. 그 결과 2014년부터 2018년까지 4년간 개인 정보가 유출된 사실이 드러났다. 이 사고로 전 세계 약 3억3900만명에 이르는 고객의 신용카드 번호와 여권번호, 전화번호, 이름 및 주소 등의 정보가 유출됐다.
ICO는 메리어트가 2016년 스타우드 호텔 인수 당시 IT 시스템 보안 및 관리에 대한 검토를 제대로 수행하지 않고 사고 발생 시까지 정보 유출을 인지하지 못한 것이 GDPR에 위배된다고 봤다.
이에 ICO는 메리어트에 2017년 매출의 0.5% 수준인 9920만파운드를 과징금으로 부과했다. 메리어트와 ICO는 과징금 규모에 대해 1년 이상 협의를 거쳤고, 지난해 10월 1840만파운드(약 293억 원)로 최종 과징금을 결정했다.
중국도 지난해 10월 발표한 개인정보보호법 초안에서 심각한 개인정보 침해 행위에 대해 최대 5000만위안, 또는 전체 매출 5%에 상당하는 벌금을 부과할 수 있도록 했다. 중국 입법기관인 전국인민대표대회가 지난달 20일 최종 승인한 이 법안은 오는 11월 1일부터 시행된다.
캐나다는 소비자개인정보보호법(CPPA)을 위반한 기업에 대해 전체 매출의 최대 5%까지 과징금을 부과한다.
◇ 韓 개인정보보호법 2차 개정안, 기업 책임 강화
국내에서도 해킹 등으로 인한 데이터 유출 사고에 대한 기업의 책임 강화의 필요성이 대두되고 있다.
현행 개인정보보호법 제29조는 개인정보 유출 책임이 있는 기업에게 매출의 3%까지 과징금을 부과하거나 5년 이하의 징역 또는 5000만 원의 벌금을 부과하도록 한다.
하지만 외국에 비해선 처벌 수위가 낮다는 지적이 나온다. 이에 국무총리 산하 개인정보보호위원회(개인정보위)는 기업의 책임을 강화하는 방향으로 개인정보보호법 2차 개정을 추진 중이다. 해당 개정안은 지난 7월 29일 차관회의를 통과해 이달 중 국무회의에 상정될 전망이다.
개정안은 법 위반에 따른 형사처벌 제재를 과징금 등 경제벌 위주로 전환하는 내용을 담았다. 과징금 산정 기준을 ‘침해사고 관련 매출액의 3%까지’에서 ‘전체 매출액의 3%까지’로 높이고, 매출액이 없거나 산정하기 곤란한 경우 20억원 이하의 과징금을 부과하도록 하는 게 골자다.
산업계는 거세게 반발하고 있다. 한국경영자총협회는 지난 2월 개인정보보호법 개정안에 대해 과징금 산정 기준이 위법행위 관련 매출액에서 전체 매출액으로 바뀐 것은 기업에 과도한 부담이 된다는 내용의 반대 의견을 개인정보위에 제출한 상태다.
염흥열 순천향대 정보보호학과 교수는 “기업은 소비자 정보나 개인정보를 근간으로 비즈니스를 영위하고 있기 때문에 해킹 공격으로 주요 정보가 노출되면 정신적·금전적 피해가 고스란히 소비자에게 미칠 수 있다”고 했다.
그는 “특히 코로나19 사태로 비대면 서비스가 증가하면서 정보보호의 중요성이 더 커진 만큼 기업들은 여러 공격의 가능성을 사전에 예측하고 강화한 정보보호관리체계를 수립해야 한다”고 강조했다.