2018.07.20

GDPR 발효 전, 역대 최고 벌금은 얼마였을까?

Tom Macaulay | Computerworld UK
유럽의 데이터 보호 감독기관인 ICO(Information Commissioner 's Office)는 데이터 보호 권리 위반에 대해 벌금을 부과했는데, GDPR 발효로 훨씬 더 엄격한 처벌을 할 수 있는 권한을 갖게 됐다. 이 법안으로 기업은 최대 2,000만 유로(한화 264억 2,900만 원) 또는 기업 매출액의 4%에 해당하는 금액 가운데 더 많은 쪽을 벌금으로 물어야 해 타격을 받을 수 있다.

GDPR 발효 이전 ICO가 부과한 벌금이 어느 정도였는지 알아보자.

1. 페이스북 - 2018년 7월 50만 파운드


ICO는 케임브리지 애널리티카 스캔들로 페이스북에 최대 50만 파운드(7억 3,756만 원)의 벌금을 부과할 예정이다. 약 8,700만 명의 페이스북 사용자의 정보가 참가자 및 친구들로부터 수집된 데이터를 퀴즈를 통해 정치 컨설턴트와 부적절하게 공유됐다는 이유다.

ICO의 조사에 따르면 페이스북은 1998년 데이터 보호법(Data Protection Act)의 두 가지 위반 사항으로 유죄 판결을 받았다. 사용자 정보를 보호하지 못하고 데이터가 수집된 방법에 대한 투명성이 부족하다는 것이다.

페이스북은 위원회의 의견에 답할 기회를 가지며, 그 후에 최종 결정이 내려진다. 50만 파운드의 벌금은 GDPR이 발효되기 전인 2018년 1사분기에 페이스북이 벌어들인 119억 7,000만 달러(매출액 90억 파운드)를 감안하면 훨씬 더 높을 수 있는 액수다.

2. 톡톡 - 2016년 10월 40만 파운드


톡톡(TalkTalk)은 사이버공격자가 은행 계좌 번호와 정렬 코드를 포함하여 15만 6,959명 고객의 개인 데이터에 접근하고자 SQL 인젝션을 사용한 일로 40만 파운드(5억 8,981만 6,000원)의 벌금이 부과되었다.

3. 커붐 커뮤니케이션 - 2017년 5월 40만 파운드
커붐 커뮤니케이션(Keurboom Communications)에게 부과된 벌금은 18개월 동안 9,950만 건 이상 신고된 소비자에게 불편을 준 전화로 40만 파운드의 벌금을 맞은 톡톡과 같았다. 이 전화에는 교통사고 청구부터 PPI 보상까지 다양한 주제와 관련된 것이었다. 어떤 사람들은 반복적으로 전화를 받았다.

4. 카폰 웨어하우스 - 2018년 1월 40만 파운드
카폰 웨어하우스(Carphone Warehouse)는 데이터 보호에 실패해 고객과 직원 데이터를 위험에 처하게 한 데 대해 40만 파운드의 벌금을 부과받은 세 번째 회사가 됐다. 베트남의 IP 주소에서 발생하는 외부 사이버공격은 300만 명이 넘는 사람들의 신용카드 데이터 및 기타 개인정보가 포함된 데이터베이스에 접근할 수 있었다. ICO는 카폰 웨어하우스의 보안 조치에 여러 가지 뚜렷하고 중요한 결함이 있다고 판결했으며 이 공격은 탐지되기 15일 전에 진행되었다고 밝혔다.

5. 유어머니라이트 - 2017년 9월 35만 파운드
유어머니라이트(Your Money Right)는 1억 4,600만 건의 불법 전화로 35만 파운드 벌금이 부과됐다. 요청하지 않은 전화로 수많은 수신자가 괴롭힘을 당하고 위협받는 느낌을 갖게 했다는 PPI 주장과 관련이 있다. 이 회사는 특정 동의를 얻은 경우에만 고객에게 자동 마케팅 전화를 걸 할 수 있다. 조사가 끝난 후 회사는 청산에 들어갔다.

6. 미스-솔드 프러덕츠 UK - 2018년 1월 35만 파운드
미스-솔드 프러덕츠 UK(Miss-sold Products UK)는 회사가 4개월 동안 7,500만 번 불법 전화를 했다는 주장에 따라 35만 파운드의 벌금을 부과받았다. 유어머니라이트와 마찬가지로, 회사는 수신자의 동의 없이 PPI 소유권 주장에 대해 자동 마케팅을 요구했다. 또한 미스-솔드 프러덕츠 UK는 전화를 건 사람을 확인하지 못했고 '부가 가치(added value)' 번호를 사용했다. 이 번호는 부재중 전화 후 다시 전화를 걸 때 비용이 들었다. 어떤 사람들은 전화를 거부할 수 없다고 불평하는 반면 다른 사람들은 전화를 몇 번이나 받았다고 말했다.
 
7. 영국 왕립검찰청 - 2018년 5월 32만 5,000파운드
영국 왕립검찰청(CPS: Crown Prosecution Service)은 아동 성추행 피해자 15명과의 경찰 인터뷰 기록이 담긴 암호화되지 않은 DVD를 기관에서 삭제한 후 32만 5,000파운드의 벌금을 부과받았다.

DVD에는 희생자와 개인 데이터에 대한 민감한 세부 정보가 포함되어 있었고 다른 당사자에 대한 정보를 더 자세히 확인할 수 있었다. 두 개의 CPS 사무소 간에 추적 배달을 받은 후 리셉션에 나간 후에 DVD가 누락되었다. 그들이 삭제한 후에 DVD에 무슨 일이 일어났는지는 알려지지 않았다.

8. 브라이튼 앤드 서섹스 대학병원 NHS 재단 트러스트 - 2012년 6월 32만 5,000파운드
브라이튼 앤드 서섹스 대학병원 NHS 재단 트러스트(Brighton and Sussex University Hospital NHS FT)는 2012년에 32만 5,000파운드의 벌금이 부과되었으며 당시 ICO가 부과한 최대 벌금이었다. 정보 유출자는 이베이에 트러스트의 하드 드라이브를 판매해 결국 파산하고 말았다. 이 드라이브에는 HIV 치료를 받는 사람들의 세부 정보를 포함하여 환자 및 직원에 관한 민감한 개인 데이터가 포함돼 있었다.

트러스트는 잘못을 인정하고 합의하려고 시도했지만 ICO는 이를 기각했다. 트러스트는 벌금에 대해 20%를 할인받기 위해 조기에 현금으로 지불하기로 결정해 25만 파운드로 낮췄다.

9. 홈즈 파이낸셜 솔루션 - 2018년 1월 30만 파운드
홈즈 파이낸셜 솔루션(Holmes Financial Solutions)은 동의 없이 880만 건의 마케팅 전화를 건 일로 30만 파운드의 벌금형을 선고받았다. 이는 유어머니라이트 사례와 비슷했다. 홈즈 파이낸셜 솔루션는 사용자 동의를 제대로 받지 않은 상태에서 PPI 주장을 홍보하는 자동 전화를 걸었고, 전화를하는 회사를 확인하지 못하게 했으며 사람들이 부재중 전화를 보고 다시 걸 때 돈을 내게 하는 '부가 가치' 번호를 사용했다.

10. 로드 애시던트 컨설트 트레이딩 - 2017년 3월 27만 파운드
로드 애시던트 컨설트 트레이딩(Road Accident Consult trading as Media Tactics)은 PPI, 신체 상해 청구, 부채 관리를 포함한 다양한 주제에 관한 기록된 메시지를 담은 2,200만 건의 성가신 전화를 건 데 대해 27만 파운드의 벌금을 부과받았다. ICO는 온라인 리포팅 툴을 통해 182건의 불만 사항을 접수받은 후 조사를 시작했다. 이 회사는 다른 회사의 데이터를 구입했으며 사람들이 연락하기로 합의했다고 믿었지만, ICO는 이러한 허가가 부적절한 동의 근거인 일반 및 비공개 개인정보 보호 고지를 통해 부여됐음을 확인했다.

11. 이지리드 리미티드 - 2017년 9월 26만 파운드
이지리드 리미티드(Easyleads Limited)는 승인없이 보일러 청구서에 관해 1,670만 개의 자동화된 마케팅 전화를 건 데 대해 26만 파운드의 벌금을 부과받았다. ICO의 조사에 따르면 정부의 계획과 무료 보일러 제공을 언급하면서 회사가 의도적으로 사람들을 속였다.

12. 야후 - 2017년 9월 26만 파운드
야후는 미국에 있는 서버에서 정교하고 지속적인 공격이 있은 후 약 5억 명의 야후 사용자 계정이 훼손된 데 대해 벌금 25만 파운드를 부과받았다. ICO는 러시아 연방 보안 서비스(Federal Security Service)가 이 서버를 지원했다고 주장했다. ICO는 야후가 허가받지 않은 사람에 의한 고객의 개인 정보를 보호하기 위한 적절한 조치를 취하지 않았다는 사실을 발견했다.

13. 배링턴 클레임 - 2017년 9월 벌금 25만 파운드
배링턴 클레임(Barrington Claim)은 자동화된 마케팅 통화가 승인을 받은 개인에게 발송되지 않았다는 이유로 25만 파운드의 벌금이 부과됐다. 이 회사는 2016년 2월 22일부터 5월 23일까지 PPI 환급 및 보상을 제공하는 녹음 메시지를 포함하여 1,500만 건의 전화를 걸었다. 통화의 수신자는 통화의 속도, 빈도, 내용에 대해 불만을 표시했다.

14. 뉴데이 리미티드 - 2018년 1월 23만 파운드
뉴데이 리미티드(Newday Limited)는 자사의 금융 상품을 홍보하는 원치 않는 마케팅 이메일 4,800만 건 이상을 전송한 데 대해 23만 파운드의 벌금을 부과받았다. 회사는 제 3자 계열 마케팅 담당자가 획득한 고객 동의에 의존했지만 가입자가 뉴데이 리미티드로부터 다이렉트 마케팅 이메일을 받을 수 있음을 나타내기 위한 충분한 공정 처리 정보를 제공하지 않았기 때문에 이것은 무효로 간주됐다.

15. 아동 학대에 대한 독립적인 조사 기관 - 2018년 7월 20만 파운드
아동 학대에 관한 독립적인 조사 기관인 IICSA는 학대의 희생자일 수도 있는 사람들에게 대량 이메일 발송한 데 대해 20만 파운드의 벌금을 부과받았다. 이는 IICSA 직원이 공청회에 관해 90명의 질의 참가자에게 맹인 전자메일을 보냈을 때 발생했다. 이를 통해 수신자는 서로의 이메일 주소를 보고 학대 피해자를 식별할 수 있었다. ciokr@dig.co.kr



2018.07.20

GDPR 발효 전, 역대 최고 벌금은 얼마였을까?

Tom Macaulay | Computerworld UK
유럽의 데이터 보호 감독기관인 ICO(Information Commissioner 's Office)는 데이터 보호 권리 위반에 대해 벌금을 부과했는데, GDPR 발효로 훨씬 더 엄격한 처벌을 할 수 있는 권한을 갖게 됐다. 이 법안으로 기업은 최대 2,000만 유로(한화 264억 2,900만 원) 또는 기업 매출액의 4%에 해당하는 금액 가운데 더 많은 쪽을 벌금으로 물어야 해 타격을 받을 수 있다.

GDPR 발효 이전 ICO가 부과한 벌금이 어느 정도였는지 알아보자.

1. 페이스북 - 2018년 7월 50만 파운드


ICO는 케임브리지 애널리티카 스캔들로 페이스북에 최대 50만 파운드(7억 3,756만 원)의 벌금을 부과할 예정이다. 약 8,700만 명의 페이스북 사용자의 정보가 참가자 및 친구들로부터 수집된 데이터를 퀴즈를 통해 정치 컨설턴트와 부적절하게 공유됐다는 이유다.

ICO의 조사에 따르면 페이스북은 1998년 데이터 보호법(Data Protection Act)의 두 가지 위반 사항으로 유죄 판결을 받았다. 사용자 정보를 보호하지 못하고 데이터가 수집된 방법에 대한 투명성이 부족하다는 것이다.

페이스북은 위원회의 의견에 답할 기회를 가지며, 그 후에 최종 결정이 내려진다. 50만 파운드의 벌금은 GDPR이 발효되기 전인 2018년 1사분기에 페이스북이 벌어들인 119억 7,000만 달러(매출액 90억 파운드)를 감안하면 훨씬 더 높을 수 있는 액수다.

2. 톡톡 - 2016년 10월 40만 파운드


톡톡(TalkTalk)은 사이버공격자가 은행 계좌 번호와 정렬 코드를 포함하여 15만 6,959명 고객의 개인 데이터에 접근하고자 SQL 인젝션을 사용한 일로 40만 파운드(5억 8,981만 6,000원)의 벌금이 부과되었다.

3. 커붐 커뮤니케이션 - 2017년 5월 40만 파운드
커붐 커뮤니케이션(Keurboom Communications)에게 부과된 벌금은 18개월 동안 9,950만 건 이상 신고된 소비자에게 불편을 준 전화로 40만 파운드의 벌금을 맞은 톡톡과 같았다. 이 전화에는 교통사고 청구부터 PPI 보상까지 다양한 주제와 관련된 것이었다. 어떤 사람들은 반복적으로 전화를 받았다.

4. 카폰 웨어하우스 - 2018년 1월 40만 파운드
카폰 웨어하우스(Carphone Warehouse)는 데이터 보호에 실패해 고객과 직원 데이터를 위험에 처하게 한 데 대해 40만 파운드의 벌금을 부과받은 세 번째 회사가 됐다. 베트남의 IP 주소에서 발생하는 외부 사이버공격은 300만 명이 넘는 사람들의 신용카드 데이터 및 기타 개인정보가 포함된 데이터베이스에 접근할 수 있었다. ICO는 카폰 웨어하우스의 보안 조치에 여러 가지 뚜렷하고 중요한 결함이 있다고 판결했으며 이 공격은 탐지되기 15일 전에 진행되었다고 밝혔다.

5. 유어머니라이트 - 2017년 9월 35만 파운드
유어머니라이트(Your Money Right)는 1억 4,600만 건의 불법 전화로 35만 파운드 벌금이 부과됐다. 요청하지 않은 전화로 수많은 수신자가 괴롭힘을 당하고 위협받는 느낌을 갖게 했다는 PPI 주장과 관련이 있다. 이 회사는 특정 동의를 얻은 경우에만 고객에게 자동 마케팅 전화를 걸 할 수 있다. 조사가 끝난 후 회사는 청산에 들어갔다.

6. 미스-솔드 프러덕츠 UK - 2018년 1월 35만 파운드
미스-솔드 프러덕츠 UK(Miss-sold Products UK)는 회사가 4개월 동안 7,500만 번 불법 전화를 했다는 주장에 따라 35만 파운드의 벌금을 부과받았다. 유어머니라이트와 마찬가지로, 회사는 수신자의 동의 없이 PPI 소유권 주장에 대해 자동 마케팅을 요구했다. 또한 미스-솔드 프러덕츠 UK는 전화를 건 사람을 확인하지 못했고 '부가 가치(added value)' 번호를 사용했다. 이 번호는 부재중 전화 후 다시 전화를 걸 때 비용이 들었다. 어떤 사람들은 전화를 거부할 수 없다고 불평하는 반면 다른 사람들은 전화를 몇 번이나 받았다고 말했다.
 
7. 영국 왕립검찰청 - 2018년 5월 32만 5,000파운드
영국 왕립검찰청(CPS: Crown Prosecution Service)은 아동 성추행 피해자 15명과의 경찰 인터뷰 기록이 담긴 암호화되지 않은 DVD를 기관에서 삭제한 후 32만 5,000파운드의 벌금을 부과받았다.

DVD에는 희생자와 개인 데이터에 대한 민감한 세부 정보가 포함되어 있었고 다른 당사자에 대한 정보를 더 자세히 확인할 수 있었다. 두 개의 CPS 사무소 간에 추적 배달을 받은 후 리셉션에 나간 후에 DVD가 누락되었다. 그들이 삭제한 후에 DVD에 무슨 일이 일어났는지는 알려지지 않았다.

8. 브라이튼 앤드 서섹스 대학병원 NHS 재단 트러스트 - 2012년 6월 32만 5,000파운드
브라이튼 앤드 서섹스 대학병원 NHS 재단 트러스트(Brighton and Sussex University Hospital NHS FT)는 2012년에 32만 5,000파운드의 벌금이 부과되었으며 당시 ICO가 부과한 최대 벌금이었다. 정보 유출자는 이베이에 트러스트의 하드 드라이브를 판매해 결국 파산하고 말았다. 이 드라이브에는 HIV 치료를 받는 사람들의 세부 정보를 포함하여 환자 및 직원에 관한 민감한 개인 데이터가 포함돼 있었다.

트러스트는 잘못을 인정하고 합의하려고 시도했지만 ICO는 이를 기각했다. 트러스트는 벌금에 대해 20%를 할인받기 위해 조기에 현금으로 지불하기로 결정해 25만 파운드로 낮췄다.

9. 홈즈 파이낸셜 솔루션 - 2018년 1월 30만 파운드
홈즈 파이낸셜 솔루션(Holmes Financial Solutions)은 동의 없이 880만 건의 마케팅 전화를 건 일로 30만 파운드의 벌금형을 선고받았다. 이는 유어머니라이트 사례와 비슷했다. 홈즈 파이낸셜 솔루션는 사용자 동의를 제대로 받지 않은 상태에서 PPI 주장을 홍보하는 자동 전화를 걸었고, 전화를하는 회사를 확인하지 못하게 했으며 사람들이 부재중 전화를 보고 다시 걸 때 돈을 내게 하는 '부가 가치' 번호를 사용했다.

10. 로드 애시던트 컨설트 트레이딩 - 2017년 3월 27만 파운드
로드 애시던트 컨설트 트레이딩(Road Accident Consult trading as Media Tactics)은 PPI, 신체 상해 청구, 부채 관리를 포함한 다양한 주제에 관한 기록된 메시지를 담은 2,200만 건의 성가신 전화를 건 데 대해 27만 파운드의 벌금을 부과받았다. ICO는 온라인 리포팅 툴을 통해 182건의 불만 사항을 접수받은 후 조사를 시작했다. 이 회사는 다른 회사의 데이터를 구입했으며 사람들이 연락하기로 합의했다고 믿었지만, ICO는 이러한 허가가 부적절한 동의 근거인 일반 및 비공개 개인정보 보호 고지를 통해 부여됐음을 확인했다.

11. 이지리드 리미티드 - 2017년 9월 26만 파운드
이지리드 리미티드(Easyleads Limited)는 승인없이 보일러 청구서에 관해 1,670만 개의 자동화된 마케팅 전화를 건 데 대해 26만 파운드의 벌금을 부과받았다. ICO의 조사에 따르면 정부의 계획과 무료 보일러 제공을 언급하면서 회사가 의도적으로 사람들을 속였다.

12. 야후 - 2017년 9월 26만 파운드
야후는 미국에 있는 서버에서 정교하고 지속적인 공격이 있은 후 약 5억 명의 야후 사용자 계정이 훼손된 데 대해 벌금 25만 파운드를 부과받았다. ICO는 러시아 연방 보안 서비스(Federal Security Service)가 이 서버를 지원했다고 주장했다. ICO는 야후가 허가받지 않은 사람에 의한 고객의 개인 정보를 보호하기 위한 적절한 조치를 취하지 않았다는 사실을 발견했다.

13. 배링턴 클레임 - 2017년 9월 벌금 25만 파운드
배링턴 클레임(Barrington Claim)은 자동화된 마케팅 통화가 승인을 받은 개인에게 발송되지 않았다는 이유로 25만 파운드의 벌금이 부과됐다. 이 회사는 2016년 2월 22일부터 5월 23일까지 PPI 환급 및 보상을 제공하는 녹음 메시지를 포함하여 1,500만 건의 전화를 걸었다. 통화의 수신자는 통화의 속도, 빈도, 내용에 대해 불만을 표시했다.

14. 뉴데이 리미티드 - 2018년 1월 23만 파운드
뉴데이 리미티드(Newday Limited)는 자사의 금융 상품을 홍보하는 원치 않는 마케팅 이메일 4,800만 건 이상을 전송한 데 대해 23만 파운드의 벌금을 부과받았다. 회사는 제 3자 계열 마케팅 담당자가 획득한 고객 동의에 의존했지만 가입자가 뉴데이 리미티드로부터 다이렉트 마케팅 이메일을 받을 수 있음을 나타내기 위한 충분한 공정 처리 정보를 제공하지 않았기 때문에 이것은 무효로 간주됐다.

15. 아동 학대에 대한 독립적인 조사 기관 - 2018년 7월 20만 파운드
아동 학대에 관한 독립적인 조사 기관인 IICSA는 학대의 희생자일 수도 있는 사람들에게 대량 이메일 발송한 데 대해 20만 파운드의 벌금을 부과받았다. 이는 IICSA 직원이 공청회에 관해 90명의 질의 참가자에게 맹인 전자메일을 보냈을 때 발생했다. 이를 통해 수신자는 서로의 이메일 주소를 보고 학대 피해자를 식별할 수 있었다. ciokr@dig.co.kr

X