고객정보 유출 `쉬쉬`… 개인정보위, 스타벅스 조사 착수

입력: 2022-08-10 10:13 김수연 기자

폰트

기자 구독

개인정보 유출·신고위반 행위
제보로 불이익 받은 직원 조사

개인정보유출 피해 조사를 담당하는 부처인 개인정보보호위원회가 스타벅스코리아에서 개인정보 유출 신고 위반이 발생한 것으로 보고 직접 조사에 착수하기로 했다.

10일 개인정보보호위원회 조사1국은 "디지털타임스 기사를 통해 해당 사실을 알게 됐다"면서 "신고 위반이 발생한 것이 맞기 때문에 개인정보 유출 행위와 신고위반 행위에 초점을 두고 살펴야 할 사안으로 보고 있다"고 말했다.

앞서 본지는 스타벅스코리아에서 지난 2017년 DI(Duplication Information) 중복사고가 발생해 A고객이 로그인했는데 B고객 계정으로 로그인 되는 상황이 벌어졌다는 사실을 지난 9일 단독 보도했다.

스타벅스는 이 사고를 내부적으로 개발관리 잘못으로 인한 문제로 결론내고, 외부에 사고 발생 사실을 알리지 않은 채 개발 품질관리 파트를 신설했다. 스타벅스 CISO(정보보호최고책임자)인 제보자 A씨는 "법 기준으로는 신고대상이었지만 신고하지 않은 것으로 알고 있다"며 "피해를 호소한 고객들에게만 소정의 보상을 진행한 것으로 알고 있다"고 말했다.

DI 중복사고가 발생한 2017년도 당시 적용되던 법인 구 정보통신망이용촉진및정보보호등에관한법률(제27조의 3)에 따르면 정보통신서비스제공자는 개인정보유출이 단 1건이라도 발생할 경우 24시간 내 방송통신위원회 또는 한국인터넷진흥원(KISA)에 신고해야 하고, 이용자에게 통지해야 한다.

의무를 이행하지 않을 경우 3000만원 이하의 과태료가 부과된다(제76조 제1항 제2의3호, 제2의4호).

개인정보보호위 관계자는 "기사를 통해 문제가 드러난 만큼, 이 과정에서 불이익을 받은 분을 통해 조사를 하는 등 살펴봐야 할 것으로 판단된다"고 말했다. 제보자 A씨는 스타벅스에서 CISO·CPO를 겸직하면서 회사의 IT거버넌스의 부실함을 지적하며 개선 요청 보고를 하던 중 대기발령 조치돼 무기한 자택대기 중이다. 보안취약점으로 인해 해킹 등으로 고객개인정보·고객예치금이 탈취될 우려가 있다는 게 A씨 보고 내용의 골자다.

그는 "송호섭 대표이사에 관련 내용을 보고하기 직전인 지난달 28일, 회사 HR(인사관리) 조직으로부터 '직장내 괴롭힘' 신고를 받았다고 통보받았다"면서 "이후 아무런 내용 공유나 사실여부 확인 없이 즉시 직위해제가 됐다"고 주장했다. 이어 "회사 시스템 접근 권한이 정지됐고, 어제(9일) 오후 4시경에는 휴대폰 아웃룩 메일함에 저장돼 있던 회사 메일(보낸 메일·받은 메일)도 모두 강제로 삭제조치됐다"고 말했다. 이에 대해 스타벅스회사 측은 "A씨가 제기한 주장과 내부 인사는 무관하며, 직장내 괴롭힘 건으로 인한 신고가 접수돼 회사 규정에 따라 최우선적으로 신고자 보호 및 추가 피해를 미연에 방지하고자 CISO 대기발령을 통해 신고자들과 분리 조치를 진행했다"면서 "현재 신고된 직장내 괴롭힘 건에 대한 사실 관계 확인 중"이라고 입장을 밝혔다.김수연기자 newsnews@dt.co.kr

김수연기자

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

고객정보 유출 `쉬쉬`… 개인정보위, 스타벅스 조사 착수

이 시간 핫클릭

핫 이슈!