수백만 명의 고객 정보 유출

공안부는 고객 정보를 유출한 기술 기업이나 유출된 승객 정보를 이용해 SMS 메시지를 통해 서비스를 권유하는 택시 서비스 중개 회사 등이 잇따라 발생하고 있다고 지적했습니다. 또한 공안부는 개인정보 유출 및 매매가 빈번하고 공개적이며 점점 더 복잡해지고 있다고 밝혔습니다. 더 심각한 점은 많은 양의 데이터가 사이버공간에서 오랫동안 대중에게 판매되었다는 것입니다. 구매 및 판매는 개인 간에 개별적으로 이루어질 뿐만 아니라 회사, 조직, 사업체의 참여도 수반됩니다.

2018년에는 Thegioididong.com 에 대한 정보가 유출되어 해커가 이메일 주소, 거래 내역, 심지어 카드 번호와 같은 중요한 정보를 훔쳤다는 사실이 기술 포럼에 보고되어 수백만 명의 고객이 불안해했습니다. Gioi Di Dong은 이것이 가짜 정보이며, 시스템은 여전히 ​​안전하고 정상적으로 작동하고 전혀 영향을 받지 않았다는 것을 확인하는 보도자료를 즉시 발표했습니다. 그러자 모든 것이 점점 조용해졌습니다.

2018년 4월, VNG는 1억 6천만 개의 Zing ID 계정이 유출될 위험이 있으며, 회사의 게임 고객 기반의 일부에 영향을 미칠 수 있다고 기록했습니다. 회사 측은 기술적 조치를 통해 사고를 처리하고 침입을 방지하며, 사고로 인해 영향을 받는 사용자 수를 제한하기 위한 조치를 신속하게 취했다고 밝혔습니다. 그러나 VNG는 여러 사용자의 정보가 유출되었다는 사실을 인정하면서도 "이 사건으로 실제 피해를 입은 사용자 범위는 크지 않고, 게임 고객에게 집중되어 있으며 다른 VNG 제품에는 영향을 미치지 않는다"고 밝히며, 고객의 권리와 안전을 항상 보장하고 고객에게 발생하는 모든 문제를 철저히 해결할 것을 약속했습니다.

아테나 사이버 보안 센터의 보도탕(Vo Do Thang) 씨에 따르면, 공안부가 언급한 것과 같은 구체적인 사례의 경우 회사 시스템이 공격을 받았는지, 아니면 회사 직원이 데이터를 훔쳐 공개했는지 알아보기 위한 조사가 반드시 필요하다고 합니다. 하지만 이유가 무엇이든, 데이터가 유출된다는 것은 회사 시스템에 취약점이 있다는 것을 의미합니다. 여기서 취약점은 기술적 측면이나 인적 측면 모두에서 발생할 수 있습니다. 따라서 네트워크 보안 및 안전 전반을 확보하거나 고객의 개인정보를 보호하는 일은 1년 365일, 24시간 정기적으로 모니터링하고 실행해야 하며, 소홀히 해서는 안 됩니다. 해커가 언제든지 공격할 수 있기 때문에 누구도 자신의 시스템이 항상 안전하다고 단언할 수 없기 때문입니다. 회사 직원이 고객 데이터를 훔쳐 외부에 판매하는 상황은 말할 것도 없고...

세계는 엄중한 처벌을 내리지만, 베트남은 제재가 거의 없습니다.

최근 고객정보 유출 사건이 잇따라 발생했지만, 처벌이나 제재를 받은 기관은 거의 없습니다. 한편, 전 세계 국가들은 이런 행동을 엄중하게 처벌합니다. 예를 들어, 2019년 7월, 미국 연방거래위원회는 케임브리지 애널리티카가 페이스북 사용자 8,700만 명의 개인 데이터에 접근하여 불법적으로 사용한 후, 페이스북에 50억 달러의 벌금을 부과하기로 결정했습니다. 조사에 따르면 페이스북은 2016년 대선 캠페인과 2016년 영국 브렉시트 국민투표 기간 동안 미디어 회사 케임브리지 애널리티카가 5,000만 명의 미국 사용자 데이터에 불법적으로 접근하도록 허용했습니다. 이는 사용자 데이터 유출 스캔들에 대한 세계 최대 규모의 벌금입니다.

베트남에는 정보 유출 및 공개에 대한 처벌과 관련된 규정이 많이 있습니다. 현재, 사이버 보안 분야 위반에 대한 행정 제재를 규정하는 법령 초안(협의 중이며 정부 발표 대기 중)에서는 개인정보 보호 규정을 위반하는 조직에 대한 최대 처벌은 베트남에서 2회째 위반 시 이전 회계연도 총 수입의 최대 5%까지 벌금으로 규정하고 있습니다. 동시에, 1~3개월 동안 개인정보를 수집해야 하는 업종에 대해서는 영업허가 취소라는 추가 처벌이 있을 수 있습니다.

베트남 사이버 보안 기술 회사의 기술 이사인 부 응옥 썬(Vu Ngoc Son) 씨는 지금까지 개인정보 보호에 대한 세부 규정이 부족해 법을 위반하는 기업과 조직은 행정 처벌만 받게 된다고 말했습니다. 따라서 다가올 초안에서 제안된 총 수익의 최대 5%에 해당하는 최대 벌금은 베트남에 적합하며, 각 부서가 고객 데이터를 보호하는 데 더 큰 책임을 지도록 하는 억제력으로 작용합니다. 하지만 손씨에 따르면 이 벌금은 아직 세계적으로 보면 높지 않다고 한다. 많은 국가에서 대부분의 처벌은 각 위반 사항의 영향 규모에 따라 평가되기 때문입니다. 예를 들어, 소규모 사업체에서 발생한 위반이라 하더라도 많은 사용자에게 심각한 영향을 미치는 경우, 벌금은 여전히 ​​매우 클 것입니다. "베트남에는 아직 개인정보 유출 사건의 영향을 평가할 기준이 없기 때문에, 수입을 기준으로 벌금을 부과하는 것이 타당합니다. 이는 개인정보 관리 및 보호 과정에서 새로운 진전이 될 것이라고 생각합니다."라고 부 응옥 손(Vu Ngoc Son) 씨는 말했습니다.

이에 동의하며, Vo Do Thang 씨는 고객 개인정보 보호 행위에 대한 구체적이고 공공적인 행정적 처벌에 관한 보다 세부적인 규정이 있으면 기업들이 네트워크 보안 시스템을 검토하도록 강제할 것이라고 언급했습니다. 고객 정보의 기밀성을 보장하기 위해 기술 및 인적 자원에 대한 정기적인 평가 및 모니터링 프로세스가 시행됩니다. 이는 사무실 건물이나 사람이 많이 모이는 장소의 방화 규정과 유사합니다. 국가관리기관 역시 검사, 감독을 강화하고, 위반 기업에 대한 엄중 처벌을 해야 합니다. 첫 번째는 언론에 공개될 수도 있습니다. 2차 위반 시에는 해당 행정 처벌을 받게 되며, 이후 해당 기업이 네트워크 보안 시스템을 강화할 수 있도록 서비스가 일정 기간 중단될 수 있습니다.