15
2011. 9. 8. 구구구 구구구 ( 구구구구 구구구구구 ) [email protected] facebook.com/tek.lawfirm 구구구구 구구구 구구 구구

고객정보 해킹과 위기 대응

Embed Size (px)

Citation preview

Page 1: 고객정보 해킹과 위기 대응

2011. 9. 8.

구태언 변호사 ( 행복마루 법률사무소 )

[email protected]

facebook.com/tek.lawfirm

고객정보 침해와 위기 대응

Page 2: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

고객정보 유출 사고 후 대응

Page 3: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

유출 사고 발생

협박 ( 공갈 ) 접수

자체 모니터링

외부 제보

경찰 수사 개시

사고 인지 경위

1

2

3

4

제일 먼저 해야 할 일은 ?

Page 4: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

첫번째 어려움 - 공개와 비공개

방통위 /금감원 등 유관기관 신고

경찰에 수사의뢰

언론에 보도자료 배포

고객에 통지

공개할 경우 해야 할 일

방통위 /금감원의 현장 조사

경찰의 수사

언론 보도

인터넷의 추측성 소문 , 악성 비방

고객들의 문의 쇄도 및 보상 요구

집단소송 카페 개설

공개할 경우 감당해야 할 외부 도전

Page 5: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

비공개가 정답인가 ?

원하는 돈을 보내주면 모든 자료를 파기하고 절대 비밀을 지키겠다 .

선수끼리 선수답게 해결하자 .

자료는 나만 갖고 있다 .

해커의 은밀한 유혹

보안이 잘 되어 있는 기업에 대한 해킹은 그룹으로 이루어짐

금품도 받고 고객정보도 팔아 버릴 가능성 ?

협상 주체와 다른 이해관계를 가진 공범의 존재

많은 시일이 지난 후 다시 마음이 변할 가능성

고객정보 파기 약속을 믿을 수 있을까 ?

Page 6: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

비공개 후 노출될 경우

기업의 명성에 미칠 영향

“ 고객들의 2 차 피해를 막기 위한 조치를 하기는 커녕 자신의 과오를 숨긴 기업”

고객 이탈로 사업에 위기 초래 가능성 높아짐

형사소송에 미칠 영향

형사 입건될 가능성 급상승

처벌형 높아질 가능성 급상승

민사소송에 미칠 영향

2 차 피해를 주장하며 집단 소송 제기 가능성 높아짐

법원이 과실을 인정하여 손해배상을 명할 가능성 높아짐

손해배상액이 급격히 높아질 가능성 .

해커와 타협한 후 해킹 사실이 노출될 경우

Page 7: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

공개 결정 !

공개 결정을 지연한 사이에 노출될 경우 단점 발생

뒤늦게 공개할 경우에 2 차 피해 예방을 하지 못하였다는 비난 발생

결정은 신속할 수록 좋음

방통위 /금감원 /행안부의 현장 조사 , 행정처분

수사기관의 해커 수사 협조 요청

수사기관의 회사에 대한 과실 여부 조사

한국소비자원의 분쟁조정 절차

개인정보분쟁조정위원회의 분쟁조정 절차

금융소비자연맹 등 시민단체의 성명발표 , 정보공개 요구

각종 추측성 , 비난성 언론 보도 / 악의적 오보

인터넷의 추측성 소문 , 악성 비방

고객들의 문의 쇄도 및 보상 요구 /집단소송 카페 개설

내부 직원 단속

사건 경위의 정확한 파악 등

공개할 경우 감당해야 할 외부 도전

Page 8: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

방통위 /금감원 /행안부의 현장 조사 /행정처분

정보통신망법

전자금융감독규정

개인정보보호법

침해사고 신고 의무

방통위 /행안부의 현장조사

금감원의 특별검사

현장 조사

과태료 , 과징금

영업정지 ( 취소 ), 임원 /기관 징계

행정처분

Page 9: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

경찰 조사와 형사 입건

제 73 조 ( 벌칙 ) 다음 각 호의 어느 하나에 해당하는 자는 2 년 이하의 징역 또는 1 천만원 이하의

벌금에 처한다

1. 제 28 조제 1 항제 2 호부터 제 5 호까지 ( 제 67 조에 따라 준용되는 경우를 포함한다 ) 의 규정에 따른 기술적 · 관리적

조치를 하지 아니하여 이용자의 개인정보를 분실 · 도난 · 누출 · 변조 또는 훼손한 자

제 28 조 ( 개인정보의 보호조치 ) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의

분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의

기술적 · 관리적 조치를 하여야 한다

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영

3. 접속기록의 위조 · 변조 방지를 위한 조치

4. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

개인정보의 기술적 , 관리적 보호조치 기준 ( 방통위 고시 )

동 기준 해설서 ( 한국인터넷진흥원 )

정통망법상 개인정보 분실 등 죄

Page 10: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

경찰 조사와 형사 입건

개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영

IDS, IPS 의 운영

IP 주소 등으로 접근 통제

웹서버의 개인정보시스템 여부

개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치

개인정보 중 주민번호 , 비밀번호 암호화 . 로컬 저장시 전 개인정보 암호화 ( 로그 속 개인정보 )

비밀번호의 작성 규칙 ( 6 자리 , 8 자리 )

전송구간의 암호화

VPN 접속시 추가 인증

백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치

백신의 설치 및 주기적 업데이트

사례에서 많이 발생하는 고시 위반 사유

정보통신망법 28 조 1 항 2 호 ~5 호 각호 및 이에 따른 고시 위반이 개인정보 분실 등의

원인이 되었을 때

Page 11: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

언론 대응

해킹 의심 정황 발견 사실 , 2 차 피해예방을 위한 고객들의 조치 요구 등 회사가 취해야 할 조치와 관련된

언론 브리핑은 신속하고 적극적으로 전개

언론을 자극할 경우 , 추측성 보도로 이어져 결과적으로 후속 대응에 심각한 지장 초래

언론 대응을 회피하거나 , 적극적으로 이용하는 것은 바람직하지 않음

해커가 검거되기 전에는 유출 의심 정황이 있을 뿐 정확한 유출 자료는 확정되지 않음

해커가 검거되기 전에는 정확한 해킹 경로는 밝혀지지 않음

해킹의 정확한 경위가 밝혀지기 전 원인 /결과에 대한 언급은 부적절

회사의 부적절한 언급은 집단소송을 독려하는 효과

특히 , 언론의 부정확한 보도 , 추측성 보도를 소송상 증거자료로 제출

집단 소송의 원고는 언론 보도를 주된 증거로 사용

문제된 부분에 대해서만 지적

정정보도 과정에서 지나친 언급은 자제

부정확한 보도에 대해서는 즉시 정정 보도자료를 배포함이 바람직

Page 12: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

고객 대응 / 집단소송 대응

언론보도 직후부터 고객 문의 쇄도 , 불충분한 대응은 불리한 여론 형성으로 집단 소송 등에

영향

온라인 , 전화 , 방문 등 모든 상황에 대해 대응 요령 준비하여 시행

법무팀의 검토 하에 모범 문답을 준비

2 차 피해 방지 , 고객 정보 변경 등 필요 최소한 조치는 적극적으로 안내

해킹의 원인이나 전체 피해규모에 대해서는 ‘정확한 진상 규명중’

고객 대응 지원 체계 강화

언론의 오보가 여론을 자극할 경우에 적극적으로 해명하고 적절한 조치

피해 고객을 위해 필요한 조치 검토 법적 책임을 미리 인정한 것으로 오해될 소지가 있어 시행에 있어서는 신중한 검토

집단 소송 카페 등 움직임 관찰

Page 13: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

기타 유관 기관 대응

분쟁조정절차 있음

충분한 조사 없이 적극적으로 회사의 과실 인정 및 배상금 인정하는 경향

책임을 인정할 경우에 소송에 미치는 영향이 지대하므로 이의 제기 필요

한국소비자원

위와 비슷

1 인당 배상금액을 100 만원 단위의 고액으로 인정한 사례 다수

1 인이 제기한 조정이라고 할지라도 집단소송의 원고수만큼 배상 청구와 마찬가지이므로

신중하게 대응

개인정보분쟁조정위원회

회사 방문 , 정보공개 요청 , 유관기관에 영향력 행사 등 적극적으로 활동

면담 , 최소한 정보 제공 등 적절하게 대응

금융소비자연맹 등 시민단체

Page 14: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

소송 대응 - 형사소송

경찰 CTRC, CCI

검찰 첨단범죄수사부

수사에 적극적으로 협조하면서 이슈에 신속한 해명

기술적 사실관계의 정확한 확정이 중요 엔지니어들의 속단 , 부적절한 법적 효과 해석

현업 직원들의 은폐 심리 , 보안부서의 동조 심리 참작

수사기관의 수사

관련 민사소송에서 공판기록 확보 시도

집단소송의 대리인이 해킹 피고인 무료 변론 사례 등

공판

Page 15: 고객정보 해킹과 위기 대응

제 5 회 금융정보보호컨퍼런스

소송 대응 – 민사 소송

개인 , 단체가 산발적으로 전국에 소송 제기하여 수십건의 소송 동시 진행

패소판결 선고 등 다양한 파급 효과를 고려한 소송 운용 전략 필요

전국에 소송 제기

이의 제기

지급명령

1심부터 3 심까지 최소 3년 이상의 기간이 소요되는 장기전

원고의 주장 , 입증을 기다려 필요 최소한으로 답변하는 전략

집단 소송 사건 /유력 변호인 사건에 소송력 집중하고 다른 사건은 이에 병합하거나 기일 추정하는 전략

소송상 쟁점이 되는 기술적 사항의 반론 준비

전문가 증인 , 관련 기관 의견서 , 문헌 /참고자료 확보 등

소송에 불리한 영향을 미치는 외부적 요인 검토 및 이에 대한 조치

언론보도 , 경찰 수사결과 발표 , 유관기관의 조치 , 시민단체의 활동 등

본안소송