삼성전자 미국 법인이 7월 말 사이버 공격을 당해 미국 소비자의 개인정보를 유출했다. 삼성전자는 2일(현지시각) 해당 시스템 보호 조치를 취했고, 문제 해결에 적극 나서겠다는 입장을 알렸다.

하지만 보안업계에선 삼성전자의 후속조치와 별개로 상황이 심각하게 흘러갈 가능성이 있다고 본다. 삼성전자는 개인정보 수집 기업에 엄격한 책임을 묻는 미국에서 천문학적 벌금과 함께 피해를 입은 회원들로부터 손해배상 소송을 당할 수 있다.

삼성전자는 8월 4일 전후로 진행된 조사에서 유출된 일부 고객 정보를 확인했다. 성명, 연락처, 인구 통계정보, 생년월일, 제품 등록 정보 등이 주로 유출됐다. 이번 해킹으로 사회보장번호(SSN), 신용·직불카드 정보 등은 유출되지 않은 것으로 파악됐다는 삼성전자의 주장이다.

 / 조선일보DB
/ 조선일보DB
미국 캘리포니아주는 2020년부터 소비자 프라이버시 보호법(CCPA)에 따라 5만명 이상의 개인정보를 수집하는 기업 관련 해킹 사고가 발생할 경우 기업을 대상으로 엄격한 책임을 묻는다. 사업자가 합당한 보안 절차를 이행하지 않아 개인정보가 유출되면, 1건당 최대 7500달러(1033만원)까지 벌금을, 소비자에게는 750달러(103만원)까지 배상하도록 한다.

개인정보 유출에 대한 대표적 징벌 사례는 페이스북의 모회사 메타의 ‘케임브리지 애널리티카 스캔들’이다. 케임브리지 애널리티카 스캔들은 2016년 미국 대선 때 케임브리지 애널리티카가 페이스북 이용자 8700만명의 데이터를 이용자 동의 없이 수집해 정치 광고 등에 사용한 대규모 정보 유출 사건을 말한다. 메타는 이 사태로 미 연방거래위원회(FTC)에 50억달러(6조8800억원)의 벌금을 냈고, 합의금으로 49억달러를 지불했다. 삼성전자 해킹 사건은 기업이 의도하지 않은 피해를 발생시켰다는 점에서 메타 사례와 다르다.

하지만 보안업계에서는 미 당국 조사에서 삼성전자의 잇따른 해킹 피해가 ‘합당한 보안 절차 불이행’으로 비춰질 수 있다는 지적이 나온다. 삼성전자는 3월 국제 해커조직 랩서스가 벌인 해킹 사태의 주인공이 됐고, 이번까지 올해만 총 두번의 해킹 사고가 발생했다.

남미 기반의 국제 해커조직 랩서스(Lapsus$)는 3월 6일 삼성전자의 서버를 해킹했다고 밝힌 바 있다. 엔비디아 해킹도 성공한 이들은 190기가바이트(GB) 분량의 삼성전자의 기밀 데이터를 온라인상에 유출했다고 주장했다.

랩서스는 해킹한 파일에 ▲생체인식 알고리즘 ▲부트로더(부팅 시 처음에 사용되는 코드) ▲하드웨어 암호화 등에 사용하는 트러스트존 ▲퀄컴 기밀 사항 ▲삼성 활성화 서버 ▲삼성 계정 인증 소스 코드 등이 담겼다고 주장했다. 이들이 금전적 요구를 한 정황이 있다고 알려졌지만, 삼성전자는 이를 부인했다.

보안 분야 권위자인 임종인 고려대 정보보호대학원 석좌교수는 "미 당국 조사에서도 삼성전자의 잇따른 해킹 피해를 살펴보며 보안에 신경을 덜 쓴다는 선입견이 생길 수 있다"며 "피해 이용자의 민사소송으로 번질 경우 단기간 동종 사건이 발생한 것은 배심원들이 기업의 문제로 인식할 수 있는 빌미를 줄 수 있다"고 설명했다.

삼성전자 미국 법인은 2일(현지시각) 홈페이지를 통해 고객의 개인정보 유출과 관련해 안내했다. / 삼성전자
삼성전자 미국 법인은 2일(현지시각) 홈페이지를 통해 고객의 개인정보 유출과 관련해 안내했다. / 삼성전자
2020년 소비자 프라이버시 보호법(CCPA)의 발효로 미국 내 데이터 프라이버시 보호 기조는 강화되는 추세다. 삼성전자가 메타에 준하는 벌금과 징벌적 손해배상을 부과받을 가능성을 배제할 수 없다. 특히 사회보장번호(SSN), 신용·직불카드 등 민감한 정보가 유출되지 않았다는 삼성전자의 발표와 달리 미 당국 조사로 새로운 유출 사실이 드러날 경우 벌금과 손해배상 규모는 천문학적으로 부풀 수 있다.

삼성전자 관계자는 "해커의 공격이 발생한 것은 미국 법인 사이트였으며, 한국 고객은 영향이 없다"며 "현재 수사 중인 상황이라 피해 규모 등 구체적인 내용은 확인해 주기 어렵다"고 말했다.

삼성전자 미국 법인은 2일 뉴스룸을 통해 "삼성전자는 40년 이상 쌓아온 신뢰를 유지하기 위해 노력할 것이고, 소중한 고객께 불편을 드려 죄송하다"며 "업계 최고의 전문가와 협력해 시스템과 고객의 개인 정보의 보안을 더욱 강화해 나가겠다"고 밝혔다.

이광영 기자 gwang0e@chosunbiz.com