2011. 10. 12.구태언 변호사

taeeon.koo@happy-maru.kr행복마루법률사무소

주요 보안사고 및 관련 동향

3l

전자금융 관련 정통망법 관련 KISA 지침/가이드라인

회계·감리 관련 입법 예정

정통망법 관련

정보통신기반보호법

정보통신망 이용촉진및 정보보호 등에 관한법률 (“정통망법”)

개인정보의기술적·관리적보호조치 기준

위치정보법

KISA 지침/가이드라인

개인정보보호지침

바이오정보보호가이드라인

i-Pin 가이드라인

RFID 프라이버시 보호가이드라인

보안서버구축가이드라인

정보보호안전진단가이드라인 등

금감원 모범규준

개인신용정보관리 및 보호모범규준

금융사고 예방대책 모범규준

신용정보의 이용 및 보호에관한 법률

전자금융감독규정

시행세칙

전자금융거래법

보안성 심의 기준

전자금융거래 보안 종합대책

전자서명법 등

전자금융 관련

4l

전자금융 관련 정통망법 관련 KISA 지침/가이드라인

회계·감리 관련

내부회계관리제도모범규준

모범규준 적용해설서

검토기준 및 적용지침

주식회사의 외부감사에관한 법률

개인정보보호법 등

개인정보보호법(9/30시행)

개인건강정보보호법(안)

개인건강정보보호 및보안 세부지침(’09.3)

5 l

1 K은행 3만여 명 고객 개인정보 파일이 실수로 이메

일에 첨부되어 약 3,700여 명에 전송민사 원고 승(20만원)

2 L전자회사 채용사이트 서버가 해킹, 입사지원자들의

각종 신상정보와 개인정보 유출

민사 원고 승

(31명/30만원)

3 L통신회사 가입자정보가 제3사이트로 전송과정에서 프

로그램 코딩 미비로 개인정보 유출

민사

1심 원고 승(5만원)2심 원고 패

4K통신회사/S통신회사

고객의 동의 없이 개인정보를 제3자에 제공

하거나 취급위탁하여 제공

영업정지 등 행정재재

(방통위)

5 G정유사 직원이 고객정보 약 1,000만 명을 CD에 담

아 유출

형사 무혐의

민사 원고 패

사건명 사안 개요 결과

6l6 l

초고속통신사가 고객정보 50만명을 신용카드사에 매도한 사안

신용카드사는 이 정보를 토대로 회원 유치 통신판매 실행개요1

경과2

쟁점3

교훈4

경찰 수사후 부사장 입건, 불구속 기소 되어 유죄판결 선고

1만 8993명이 집단소송 제기, 2011. 10. 동의 없는 제3자 제공은 1인당 20만원,동의의 범위를 넘은 제3자 제공은 1인당 10만원 배상판결 선고(총 37억 5770만원)

‘제휴 상품 소개’라는 동의 문구의 적법성

개인정보의 영업적 이용에 관련 법령 검토 미흡으로 1,000억원대의 우발채무를 발생시킨 사안

개인정보보호법 시행으로 위반 적발 사례 급증 예상

7l7 l

필리핀 거주 한국인 해커 -> 해외IP 이용 -> 고객정보 175만건 해킹

5억 입금 협박메일 도착 후 -> CCTV를 통한 국내총책 및 인출책 검거개요1

경과2

쟁점3

교훈4

경찰청 사이버수사대 : 정통망법에 의한 보안조치 이행여부 점검

금감원 특별 검사(3주간) : 상시적 보안관제 등 시스템취약점 점검

수사기관: 기술적, 물리적, 관리적 기준 이행 여부 ->회사의 과실점 검토

금감원: 전자금융감독법규 위반여부 -> 기관 및 임직원 제재 검토

법률적 이슈화 대비 -> 초기 대응 긴요

사건 초기에서부터 다각적, 유기적 대응 중요(사건 분석, 기관 대응, 고객/언론 대응 등)

8l

외부 유지보수 업체 직원 -> 은행 내부망에 연결하여 작업하는노트북에 악성 툴이 설치되어 -> 해커가 이를 매개로 내부망에 침입 -> 삭제 명령을 입력하여 -> 시스템 파일 파괴

수일 간 ATM, 인터넷뱅킹, 폰뱅킹, 모바일뱅킹 서비스 거래 중단

개요1

경과2

쟁점3

교훈4

금감원 및 한국은행의 특별검사

서울중앙지검 첨단수사2부의 수사 진행

금융기관의 경우: 전자금융감독법규상 위반사항 -> 제재 여부 검토

유지보수업체의 경우: 민형사책임 예상

기관/고객 대응, 복구 과정 등에 있어 혼선 및 여론 악화, 부실 대응

8 l

9l9 l

공개용웹서버 홈페이지 팝업창의 SQL Injection 취약점 이용 -> 시스템침입

DB서버상의 DB테이블 일부를 다운로드 : 약 12,500개 개인정보 유출

개요1

경과2

쟁점3

교훈4

금감원 특별검사(2회, 8일) : 보안조직 및 보안규정, 보안관제시스템, 전산시스템 구성의 취약점 점검

경찰청 사이버수사대 : 해커 수사중

동일범의 소행으로 추정되는 타 금융기관 동시 검사 : 일괄 제재 예상

초기단계 자체대응 : 내부 부서별로 각개 대응

검사 마무리단계 : 회사의 예상과 달리 다수의 위규사항 지적

집중적, 전문적인 대응을 통해 적절한 대응논리 제공 필요

1

개인정보 수집시 고지, 명시의무불이행

사전 동의 없이 개인정보수집 / 이용 / 제공만14세 미만 아동 개인정보의부정수집

개인정보 수집 2

고지한 범위를 초과한 목적 외이용 / 제공개인정보처리 위탁시 고지의무불이행

개인정보의 이용 및 제공

3

영업의 양수도 등의 통지의무불이행

개인정보보호의 기술적 관리적조치 미비

개인정보관리자의 부적격 혹은미지정

개인정보의 유지, 관리 4

고지한 범위를 초과한 목적 외이용 / 제공개인정보처리 위탁시 고지의무불이행

개인정보의 동의철회, 파기/개인정보의 유출, 도용, 침해 대응처리

No 일시 수집 단계 침해 유형 분쟁 조정 결정례

1 2004

중고휴대폰 판매 웹사이트를 개설하면서 휴대전화번호 등 개인정보가 포함되어 있는 다른 웹사이트의게시글을 무단으로 수집하여 자신의 게시판에 게시함

동의 없는 개인정보 수집행위에해당함

위자료로 5만원 지급 결정

2 2003

통신사업자가 일반전화서비스 가입고객의 정보를자사의 초고속 인터넷 서비스 TM에 사용하겠다는목적을 개인정보 수집시(일반전화 서비스 가입시) 고지하지 않음

개인정보 수집시 이용 목적 불고지

위자료 20만원을 지급 결정

3 2003

온라인 게임사업자가 법정대리인의 동의 없이 12세아동의 개인정보를 수집함

사안에서 아동은 게임사이트에 가입하면서 부모의동의가 있는 것처럼 부모의 휴대폰으로 이용요금을결제하였음

부모는 휴대폰 결제된 이용요금의 반환을 요구함

14세 미만자의 법정대리인 동의없는 개인정보 수집

미성년자의 적극적사술과 부모의 관리 감독 소홀을 이유로50% 과실상계함

No 일시 이용 단계 침해 유형 분쟁 조정 결정례

1 2006

이동통신회사가 증권조회서비스를 제공하는 부가서비스업체(CP업체)에게 당해 업체에 대한 민원해결을 위하여 고객의 정보를 제공함

가입 당시 고객에게 제휴관계/위탁처리를 위하여 개인정보를 제공할 수 있다는 포괄적 고지는 있었음

적법한 고지·동의 없는 제3자 제공임

위자료 100만원 지급 결정

2 2005

인터넷쇼핑몰업체가 고객들에게 이메일로 사전 동의를 구한 후 리서치 회사에 의뢰하여 설문조사

설문 조사의 안내 및 동의를 구하는 전자우편을 받지 못한 회원임에도 개인정보가 제공됨

동의 없는 제3자 제공에 해당함

위자료로 30만원 지급 결정

3 2002

인터넷쇼핑몰운영자가 자신이 배포한 S/W로 인해컴퓨터에 이상이 생긴 고객의 항의를 해결 하고자해당 S/W 제작업체에 고객정보를 제공함

제작업체가 고객에게 원인설명·치료·사과 등의 조치를 취하려고 연락을 취함

동의 없는 제3자 제공에 해당함

위자료 20만원 지급 결정

No 일시 이용 단계 침해 유형 분쟁 조정 결정례

1 2004

초고속인터넷 사업자가 PC정비 및 보안과 관련된부가서비스 위탁사실을 고지하지 아니하고 고객의개인정보를 부가서비스업체에 제공함

사업자의 웹사이트에도 “제휴업체가 부가 서비스를제공한다”는 내용만 명시되어 있음

제공업체, 제공 목적 등과 관련한 명시적 사전 고지및 동의 없었음

개인정보 제공자 (통신사업자)의 사무 처리를 위한 경우로 제3자제공이 아닌 개인정보처리위탁임

부가서비스를 위탁하여 처리하고자 하는 경우 최소한 수탁자, 수탁관계 등을 이용자에게 고지하여야 함

2

2006

케이블방송사업자가 인터넷 통신서비스를 제공하는자회사에 고객정보를 제공, 자회사가 TM 실시

제공업체, 제공 목적 등과 관련한 명시적 사전 고지및 동의 없었음(포괄적 문구로 고지)

개인정보취급위탁이 아닌 제3자제공에 해당함

2004

온라인 보험판매 대행업자가 생명보험사에 고객 정보를 제공, 보험사가 TM 실시

제공업체, 제공 목적 등과 관련한 명시적 사전 고지및 동의 없었음(포괄적 문구로 고지)

모회사

통신회사

자회사

인터넷 사이트운영회사

통신서비스개통(설치기사)

고객에게 사후적으로제3자 정보제공 동의 받음

자회사가제공받은 정보를다른 목적으로영업활동에활용한다면 더큰 문제

고객에 사전고지/동의 없이

고객

제3자 제공

통신서비스가입청약

R

R

R

DBDB 보안 서버보안

접근제어OS보안Application보안

내부PC 외부PC

네트워크보안

PC보안바이러스보안파일암호화

서버 네트워크

내부PC

방화벽IDSVPN

Attack Path

R R

R R

자회사 분사 후 고객동의 없이 제공 해킹에 의한 경우

2007~2008년에 걸쳐 미국인 해커를 고용한해커들에 의해 모아저축은행을 포함 수백 곳의기관이 해킹 당하였음. 자세한 피해내역은 안알려짐

모아저축은행 등 금융거래정보 해킹 사건

* 주요 일간지 및 신문 보도자료 발췌

『 경찰에 따르면 친구사이인 최 씨 등은2008년11월부터 최근까지중국 해커로부터 2차례에걸쳐 100만원을 지급하고국내 25개 사이트 회원의이름, ID, 비밀번호, 주민등록번호 등이 포함된개인정보 2천여만건을 구입해온라인 메신저를 통해 알게된 사람들에게 1억5천만원을받고 판매한 혐의를 받고있다. 』

피해 업체 2곳도정통망법위반죄로 입건.

2010. 3. 11. 연합뉴스

『부산경찰청 이재홍사이버수사대장은 "그동안의개인정보 유출 사건과는 달리20여개 업체를 모두 입건해책임을 물었다"며 "개인정보유출이 심각한 사회문제를일으키는 만큼 이번 사건을계기로 업체들의 취약한정보관리의 심각성을 인식하는계기가 됐으면 한다"고 말했다.

경찰은 이들이 유통시킨개인정보가 전화금융사기나메신저 피싱 등에 사용됐을가능성도 높은 것으로보고관계기관과 함께추가조사를 진행하고 있다. 』

2010. 4. 8. 노컷뉴스

개인정보 암호화 관련 법령

제6조 (개인정보의 암호화)

비밀번호 및 바이오정보는 복호화되지 않도록 일방향 암호화 저장

주민등록번호, 계좌 및 신용카드 번호, 계좌번호는 안전한 암호알고리듬으로 암호화하여 저장

정보통신망을 통해 이용자의 인증정보 송수신시 안전한 보안서버구축 등의 조치를 통해 이를 암호화 하여 전송

Web Server에 SSL통신 또는 암호화 응용프로그램 탑재

정보통신서비스 제공자 등은 이용자의 개인정보를개인용컴퓨터(PC)에 저장할 때 이를 암호화하여 저장 (2010년 1월29일 시행)

개인정보의 기술적·관리적 보호조치 기준 (방통위 고시 2009. 8. 7. )

법 제24조 (고유식별정보의 처리 제한)

고유식별정보(시행령 19조)

주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

개인정보처리자가 고유식별정보를 처리하는 경우에는 그고유식별정보가 분실, 도난, 유출, 변조 또는 훼손되지 아니하도록암호화 조치를 하여야 한다(법 24조 3항, 시행령 21조)

암호화 조치의 내용(시행령 30조)

4호 개인정보를 안전하게 저장, 전송할 수 있는 암호화기술의 적용 또는 이에 상응하는 조치

개인정보보호법상 암호 관련 규정

법 제29조 (안전조치의무)

개인정보처리자는 개인정보가 분실, 도난, 유출, 변조 또는훼손되지 아니하도록 내부관리계획 수립, 접속기록 보관 등기술적, 관리적 및 물리적 조치를 하여야 한다.

개인정보의 안전성 확보조치(시행령 30조)개인정보의 안전한 처리를 위한 내부 관리계획의 수립, 시행

개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

개인정보를 안전하게 저장, 전송할 수 있는 암호화기술의 적용 또는 이에상응하는 조치

개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조, 변조방지를 위한 조치

개인정보에 대한 보안프로그램의 설치 및 갱신

개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등물리적 조치

개인정보보호법상 암호 관련 규정

제7조 (개인정보의 암호화)

암호화할 개인정보는 고유식별정보, 비밀번호, 바이오정보위 개인정보를 정보통신망을 통해 송수신할 때에는 암호화 통신비밀번호 및 바이오정보는 암호화하여 저장해야, 비밀번호는일방향 암호화해야고유식별번호

인터넷 구간 및 DMZ구간에 저장시 암호화해야내부망에 저장시 위험도 분석에 따라 암호화 적용 여부 및적용여부 결정(공공기관은 개인정보영향평가의 결과

안전한 암호알고리즘으로 암호화하여 저장해야2011. 13. 30.까지 암호화계획 수립, 2012. 12. 31.까지암호화적용업무용 컴퓨터에 고유식별정보를 저장시 상용암호화소프트웨어또는 안전한 암호알고리즘 사용

개인정보의 안전성 확보 조치 기준 (행안부 고시 2011. 9. 30. )

침해사고 유형별 기업의 책임

업무처리과정에서개인정보침해

본사 직원에 의한 침해수집, 이용, 제공, 파기, 보존 단계별 관련 법규 위반시

수탁업체에 의한 침해본사를 위해 개인정보를 처리하는 과정에서 관련 법규 위반시

기업의책임

민사 책임사용자 책임 – 본사 직원 및 수탁업체 직원 포함(정통망법 25조 5항)입증책임의 전환(정통망법 32조) – 기업이 고의/과실이 없음을 입증해야

제공받은 제3자에 의한 침해- 본사가 적정하게 개인정보를 제공하였는지가 책임 발생의 관건

형사 책임고의에 의한 행위자는 행위책임으로서 본인이 형사처벌을 받게 됨

법률의 부지는 정당한 변명이 되지 않음

입건 대상자는 기업의 개인정보 담당 임직원(개인정보관리책임자로지정된 사람에 국한되지 않음)기술적/관리적 보호조치 위반에 의한 침해로 평가될 경우 “부작위”가처벌되는 결과

외부자에 의한 해킹기업의 기술적/관리적 보호조치 위반이 있었는지 여부가 책임성립의 관건공동불법행위에 따른 민사책임 및 기술적/관리적 보호조치위반으로 인한 형사책임 성립 가능

내부자에의한 해킹

기업의책임

개인정보취급자에 의한 해킹본사 직원 및 수탁업체 직원 여부 불문기업은 사용자 책임 및 형사책임 발생민사책임에 있어서 사용자 책임의 전환으로 기업이 승소하기 곤란형사책임에 있어서 기술적/관리적 보호조치 위반으로 평가받아개인정보보호 담당 임직원이 형사처벌 가능성이 높음

개인정보취급자가 아닌 자에 의한 해킹평소 개인정보에 대한 접근권한이 없는 자에 의한 침해민사책임에 있어서 사용자 책임이 인정될 가능성이 아주 높음형사책임에 있어서 기술적/관리적 보호조치 위반으로 평가받을가능성이 아주 높음

개인정보관리책임자

해당 위반행위를 알고 결정했다고 평가되어형사책임을 질 소지가 높음개인정보 유출시 암호화 조치 미이행된 경우 형사책임

업무결정에 관여한 경우

업무결정에 관여하지 않은 경우

원칙적으로는 형사책임을 지지 않음

사실상 해당 업무처리에 대해 잘 알고 있었거나, 해당업무처리를 관리감독할 의무가 있다고 평가되는경우에는 형사책임 발생 가능

평소 관리감독에 철저했는지 여부

관리감독의 핵심은 정책수립, 교육 및 점검

개인정보 관련 업무에 대한 위임전결규정 수립, 사전 검토 및사후 검토에 대한 원칙 수립, 주기적인 점검 및 관련 사항에대한 교육 실시 필요

이러한 관리감독을 철저히 하였다면 형사책임이 발생하지않을 가능성 높음

*민, 형사 절차 동시 진행의 가능성

< 형사책임 >암호화 의무 등 보호조치 고시 위반 등 일정한 경우 형사책임의 발생양벌규정으로 인한 회사의 책임 발생 및 벌금의 부과1

< 민사책임 >직원(수탁회사 포함)의 개인정보 침해시 회사의 사용자 책임 발생집단 소송)에 따른 거액의 손해배상책임 부담2한국소비자원의 집단분쟁 조정절차 개시, 개인정보분쟁조정위원회의조정절차 개시 등3

기업의 전략적 대응방안

민사상/형사상/행정상

책임 경감 또는

면제가 목표

개인정보관리책임자(CPO)의

역할과책임 강화

개인정보처리 시스템보안 강화

개인정보취급자 등 관련임직원에 대한교육과 점검

협력업체, 제휴업체에 대한관리/감독

3

2

개인정보관리책임자 및 전담조직 강화개인정보와 관련된 업무 결정에 CPO의 참여 제도화

위임전결 규정, 의사결정에 협조 및 참조 사전 규정

주기적 교육 및 점검의 시행 여부 확인

계약/지침/정책 등 규정 정비– 개인정보 보호정책 등 법령상 요구 지침 마련

– 수탁업체/제휴업체와계약서에 관리, 감독 근거 마련

– 홈페이지상 ‘개인정보취급방침’, ‘가입신청서’ 상 개인정보 수집, 이용, 제공동의에 필요한 항목 주기 점검

개인정보 관련 일선 업무 처리의 법적합성 진단관련 법규정상 요구되는 항목의 일상적 점검

업무처리 과정상 부지불식 중에 존재하는 불법적 실무 관행 진단 및 시정

부적절한 업무처리시 적절한 제재에 대한 근거 규정 도입

1

5

4 개인정보 처리 시스템의 보안 강화접근권한의 적절한 설정, 접근기록의 점검 및 백업 등 기술적/관리적 보호조치관련 고시상 요구사항 준수

접근통제시스템, 비밀번호/금융정보 암호화 등 보안의 강화

적절한 패치 도입 등 시스템 보안의 최신 상태 유지

교육과 협력업체 점검 강화주기적 교육과 점검 제도화

교육 및 점검 업무를 전담할 조직 설치

교육 및 점검 이행 여부에 대해 신상필벌 도입

개인정보보호에있어강조해도지나치지않은요소!!!

법규 및 감독규정준수와 임직원의준법위험관리

정보보호정책/절차/지침이행여부 및통제활동 진단

외부 IT 전문기관에의한 진단

접근통제 등보안시스템 가동

법무부서에의한 자문

개인정보보호전담 조직 운영

업무감사,회계감사,전산감사,부정감사,상시/특명 감사 등

IT 감사

외부 법률전문가 진단외부 법률전문가 진단

법무부서

개인정보관리책임자

부정 및준법위험

법인의 책임최소화

형사상 책임최소화

집단소송

대비

임직원 교육/예방 / 체계정비

개인정보보호는 보호기술과법률해석 문제가 융합된 영역

업무처리 적법성+

최상의 보안강화

감사합니다.

Q&A