[평판66] 카카오톡, 정보 유출로 역대 최대 과징금…정신아 대표 책임의식 필요

“정보관리 부실 및 해킹과 다른 양상의 정보유출 사건”
보안 위협 및 사고, 고객 신뢰 저하시켜 수익 감소
기업 지배구조·사회적 책임 미흡…정보 보안 사고와 연관성
“피해자들 위로와 재발 방지 제시해야”

 

기업의 사회적 역할이 날로 확대되고 있다. 특히 평판은 기업의 가치와 미래를 엿볼 수 있는 중요한 도구다. 기업과 CEO의 좋은 평판은 오랜 기간 체계적인 관리가 이뤄져야 하는 만큼 쉽지 않다. 반면 나쁜 평판은 한순간 기업의 이미지를 훼손하면서 그간 쌓아온 성과를 허물어버린다.
<알파경제>는 연중기획으로 이정민 평판체크연구소장과 함께 국내 기업과 CEO들의 다양한 이슈를 학술적 이론을 접목해 풀어내고자 한다. 이를 통해 객관적이고, 공정하게 기업과 CEO의 평판을 체크하는 동시에 해당 기업의 가치와 미래 등도 짚어보고자 한다. [편집자주]

 

(사진=연합뉴스)

 

[알파경제=이정민 평판연구소장·김종효 기자] 카카오톡이 6만 5000건 이상의 이용자 정보를 유출한 책임으로 역대 최대 과징금을 부과 받았다.

지난해 해커가 카카오톡 오픈채팅방 관련 비식별 정보를 활용해 개인정보를 수집하고, 이를 불법 판매하고 있다는 사실이 밝혀졌다.

조사한 개인정보보호위원회는 카카오 측에 책임이 있다고 판단하고 과징금 151억 4196만원과 과태료 780만원을 부과했다. 

(사진=연합뉴스)

◇ “일반적 정보관리 부실 및 해킹과 다른 양상의 정보유출 사건”

이번 사건은 일반적인 정보관리 부실이나 서버 해킹과는 다른 양상의 정보유출 사건이다.

오픈채팅방용 서비스 일련번호가 이용되었는데, 이 번호는 소스코드를 통해 어디서나 쉽게 확인할 수 있다는 특징이 있다.

또한, 오픈채팅방용 서비스 일련번호는 법적 암호화 대상이 아니며 개인정보보호위원회의 안전성 확보 조치 기준에서도 암호화 대상으로 명시되어 있지 않다.

개인정보보호위원회는 카카오톡의 개인정보 유출 가능성이 알려져 있었음에도 카카오가 적절한 점검 및 조치를 취하지 않았다고 지적했다.

안전조치 의무 위반을 이유로 카카오에 과징금을 부과한 것이다. 카카오는 개인정보보호위원회의 판단에 불복해 행정소송을 포함한 다양한 조치 및 대응을 적극적으로 시행하겠다는 입장을 밝혔다.

정보화 사회에서 IT기업은 고객정보를 안전하게 관리해야 할 의무가 있다. 고객정보가 기업의 핵심 정보 자원이자 고객 개인 생활에 중대한 영향을 미치기 때문이다[1,2].

해킹으로 인한 데이터 침해는 기업과 고객 개인 모두에게 상당한 손실을 초래한다[3].

기업에서는 피해자 보상, 정보 정상화, 보안 시스템 개선 등의 조치 비용이 발생하고, 고객 개인은 정보 관리, 범죄 노출, 이외 다양한 잠재적인 비용으로 인한 손실을 입게 된다[3,4].

카카오톡 이용자 정보 유출 사건의 경우, 카카오가 법률적 문제가 없더라도 정보 보안 시스템에 투자하고 개인정보의 부적절한 사용을 방지할 의무를 가졌다는 점에서 책임을 물을 수 있는 것이다[2].

 

(사진=연합뉴스)

◇ 보안 위협 및 사고, 고객 신뢰 저하시켜 수익 감소

카카오와 같은 온라인 기반 기업들에게 보안 위협이나 사고는 비즈니스 연속성을 훼손시키고 고객 신뢰를 저하시켜 수익을 감소시키는 중대한 사건이다[1,4].

2013년 미국 대형마트로 유명한 Target의 해킹 사례연구에 따르면, Target이 이용자 정보 유출 이후 약 2~10%의 시장 점유율을 상실하고 이익은 46% 급감한 것으로 나타났다.

고객 정보가 유출되었다는 것만으로도 고객들이 서비스 이용에 불안감을 느끼고 이용 자체를 꺼려하는 경향을 가지게 됐다[5].

해킹 사고로 인한 해당 온라인 서비스 기피 경향은 편의성, 상대적 유용성이라는 이점이 있음에도 불구하고 형성되는 것으로 나타났다[5].

또한, 문헌에서는 해커로 인한 데이터 침해 사고가 기업 이미지와 평판을 손상시켜 기업 가치도 저하시키는 것으로 확인됐다[1,6].

(사진=연합뉴스)

 

◇ 기업 지배구조·사회적 책임 미흡…정보 보안 사고와 연관성

해킹과 같은 외부 범죄와 이용자 피해를 예방하기 위해서 IT 취약성 개선은 필수이다[1].

개인정보보호위원회는 카카오가 정보보안 취약성을 개선하지 않았다는 이유로 과징금을 부과한 것으로 보인다.

기존연구에서 IT기업이 정보보안 취약성을 개선하고 유출 방어 전략을 강화할 능력을 갖추고 있으나 비용 측면에서 주저하는 것으로 나타났다[7].

카카오 역시 정보보안 취약성을 인지하고 이를 개선할 역량이 있었지만, 바로 시행하지 않았을 가능성이 제기된다.

특히 기업 지배구조와 사회적 책임의 미흡이 정보 보안 사고와 관련이 깊다는 연구 결과가 있다[8].

카카오는 경영진의 비윤리성과 사회적 책임 미흡이 지속적으로 문제시된 바 있어, 이용자 정보 유출 가능성의 간과한 경영전략 및 방침이 있을 가능성이 있다.

카카오는 단순히 법률적 책임만이 아닌, 이용자 정보 안전과 사회적 신뢰를 위한 보안 투자를 시행할 필요가 있어 보인다.

(사진=카카오)

◇ “피해자들에 대한 위로와 재발 방지, 정보보안을 위한 대응책 제시해야”

카카오의 최근 데이터 침해 사건에 대한 대응 역시 적절성에 의문이 든다.

관련 문헌에 따르면, 해킹에 의한 데이터 침해에 대해 기업이 책임을 인정하고 시정 조치를 취하는 것이 평판 회복에 긍정적인 영향을 미쳤다[6].

사고 책임을 부인하고 비판을 부정하는 강경 대응은 오히려 평판에 해를 끼쳤다.

특히, 경영진이 부족한 점을 공개하고 시의적절하게 사과와 시정을 제공하는 전략이 긍정적이었다[6].

따라서 정신아 대표를 포함한 카카오 경영진들은 해커의 정보 유출 및 범죄 이용과 관련한 사회적 책임의식을 보여주고, 적절한 점검 및 조치를 놓치지 않았는지 검토해야 할 것으로 보인다.

법률적 의무가 없더라도, 피해자들에 대한 위로와 재발 방지, 정보보안을 위한 구체적인 대응책을 제시해 긍정적 이미지를 형성할 필요가 있겠다.

출처
[1] Chai, S., Kim, M., & Rao, H. R. (2011). Firms' information security investment decisions: Stock market evidence of investors' behavior. Decision Support Systems, 50(4), 651-661.
[2] Hausken, K. (2017). Security investment, hacking, and information sharing between firms and between hackers. Games, 8(2), 23.
[3] Caldwell, T. (2014). The true cost of being hacked. Computer Fraud & Security, 2014(6), 8-13.
[4] Jeong, C. Y., Lee, S. Y. T., & Lim, J. H. (2019). Information security breaches and IT security investments: Impacts on competitors. Information & Management, 56(5), 681-695.
[5] Lee, M., & Lee, J. (2012). The impact of information security failure on customer behaviors: A study on a large-scale hacking incident on the internet. Information Systems Frontiers, 14, 375-393.
[6] Kuipers, S., & Schonheit, M. (2022). Data breaches and effective crisis communication: a comparative analysis of corporate reputational crises. Corporate Reputation Review, 25(3), 176-197.
[7] Neal, P., & Ilsever, J. (2016). Protecting information: Active cyber defence for the business entity: A prerequisite corporate policy. Academy of Strategic Management Journal, 15(2), 15.
[8] Lending, C., Minnick, K., & Schorno, P. J. (2018). Corporate governance, social responsibility, and data breaches. Financial Review, 53(2), 413-455.

 

 

 

알파경제 김종효 기자(kei1000@alphabiz.co.kr)