똑같은 APT 공격, 두 가지 다른 판단... 싸이월드와 인터파크

​

2011년 싸이월드 해킹 사건에서 대법원은 idle timeout 미설정 행위와 해킹을 당한 것 사이에 ‘상당한 인과관계’가 없다는 이유로 싸이월드의 법적 책임이 없다고 판결했다. 싸이월드가 idle timeout 설정을 했더라도, 해커로서는 관리자 ID·PW를 도청하는데 성공한 이상 다른 수단을 통해 어떻게든 서버에 침입할 수 있었으리라는 것이다.

 이에 반해 2016년 전자상거래 전문기업 인터파크가 외부 해킹공격을 당해 약 1,000만여 건의 고객 개인정보가 유출되는 사건이 발생했다. 해당 사건에 대해 조사에 들어간 방송통신위원회(이하 방통위)는 인터파크에게 ①idle timeout 조치를 취하지 않았다는 이유와 ②서버 관리자 패스워드를 일방향 암호화해 저장하지 않았다는 두 가지 이유로 44억 8,000만 원의 과징금을 부과했다. 

법에서 ‘개인정보를 암호화해 저장하라. 그렇지 않으면 처벌한다’라고 규정하면서, 하위 고시에서 ‘非개인정보(서버 관리자 패스워드)까지 암호화해 저장하라. 그렇지 않으면 처벌한다’라고 하는 것은 법률유보원칙에 위반될 소지가 있다.

[글_ 전승재 법무법인 바른 변호사]

 출처 : 보안뉴스 (https://www.boannews.com/media/view.asp?idx=72776&mkind=1&kind=1)

'다이소몰' 해킹으로 고객정보 유출로 과징금..그런데 다이소-다이소몰은 "같은 회사가 아니야"

 해킹으로 고객정보가 유출된 책임을 물어 '다이소몰'을 운영하는 한웨이쇼핑이 과징금 2억8000만원을 부과 받았다.
방통위에 따르면 다이소몰 해킹 과정에서 1950명 이상의 고객 아이디와 이메일, 포인트 현황 등이 빠져나간 것으로 조사됐다.

한웰이쇼핑은 다이소로부터 다이소의 상표 사용 허락을 받아 다이소몰을 운영하고 있다. 하지만 다이소와 별개의 회사로, 고객 정보를 공유하고 있지 않아 다이소 고객의 정보는 이번 사고와 관련이 없는 것으로 알려졌다.

​
(데일리팝=임은주 기자)
출처 : 데일리팝(http://www.dailypop.kr/news/articleView.html?idxno=35123)