보람상조 DB 해킹 사태, 데이터 거버넌스 실패…상조업계 '경고등'

(서울=뉴스1) 김민석 기자 = 보람상조 개인정보 유출 사고가 외형상 해킹 사건으로 분류되지만, 실질적으로는 계열사 전반의 데이터 관리 체계가 무너진 '거버넌스 실패'에 가깝다는 지적이 나온다.

통합 데이터베이스(DB)를 구축하고도 위탁·관리·통제 전 단계에서 책임 구조를 명확히 하지 못하면서 피해를 키웠다는 분석이다.

2일 업계와 개인정보보호위원회에 따르면 보람상조개발은 그룹 내 6개 계열사로부터 온라인 상담·홈페이지 회원 관리 등 고객관계관리(CRM) 업무를 위탁받아 통합 DB를 구축해 왔다.

그러나 운영 과정에서 △접근제어 △계정 권한 관리 △접속기록 보관 △암호화 등 기본적인 안전조치를 소홀히 한 것으로 드러났다.

개인정보위는 고객 정보를 맡긴 계열사들이 수탁자인 보람상조개발에 대한 교육과 점검 의무를 제대로 이행하지 않았다고 판단했다. 명목상 위탁 구조였지만 전 계열사가 통합 DB에 의존하면서도 최종 책임 주체가 부재한 상태였다는 지적이다.

구조적 허점은 공격 경로로 이어졌다. 해커는 홈페이지의 SQL 인젝션 취약점을 통해 내부 시스템에 침투했고, 통합 DB를 직접 겨냥해 공격했다. 단 한 번의 침입으로 그룹 전체 고객 정보가 노출됐고 유출 정보는 이름, 휴대전화번호, 생년월일, 이메일, 아이디, 비밀번호 등 2만 7882건에 달한다.

사고 이후 대응에서도 문제는 반복됐다. 보람상조개발은 유출 사실을 인지하고도 법정 기한 내 정보주체에 통지하지 않았고, 보유 기간이 지난 개인정보를 파기하지 않은 채 보관한 사실도 확인됐다.

상조 서비스 특성상 고객 정보는 장기간 축적된다. 계약자뿐 아니라 가족, 연락처, 의전 관련 정보 등 민감한 데이터가 포함되는 구조다. 그럼에도 상조업은 정보통신서비스 사업자에 해당하지 않아 정보보호 관리체계(ISMS) 인증이나 정보보호 공시 의무에서 제외돼 있다.

보람상조 역시 가입자 수와 선수금 규모에서 대형 사업자에 속하지만 보안과 데이터 관리 체계는 이에 미치지 못한다는 평가다. 개인정보위는 이번 제재를 계기로 상조업 전반의 보안 및 위탁 관리 기준을 재점검할 방침이다.

다만 공정거래위원회와 개인정보위 간 분산된 감독 구조는 여전히 과제로 남는다. 공정위는 선수금과 영업행위를, 개인정보위는 유출 사고를 각각 담당하지만 이를 통합적으로 관리하는 제도는 미흡하다. 금융당국 역시 상조사가 비금융사라는 이유로 직접적인 건전성 및 보안 규제 권한이 제한적이다.

금융당국 역시 상조사가 비금융사라는 이유로 직접적인 건전성 및 보안 규제 권한이 제한적이다. 일부 업체는 감독 사각지대를 활용해 선수금을 고위험 투자에 활용하는 등 리스크를 키워왔다는 지적도 나온다.

해외에서는 상조를 포함한 생애주기 업종을 데이터 기반 서비스업으로 분류해 개인정보 보호와 재무 건전성을 함께 관리하는 사례가 늘고 있다.

업계 관계자는 "상조업계도 장례 서비스라는 전통 이미지에서 벗어나 여행·렌털·시니어·헬스케어 등 라이프케어 영역으로 서비스를 넓히며 '생애주기 플랫폼'을 지향하는 흐름"이라며 "AI 기반 데이터 수집 고도화와 개인정보 수집·보호 이슈에 상응하는 보안·컴플라이언스 투자에 적극적으로 나서야 할 것"이라고 말했다.

ideaed@news1.kr