Embed Size (px)
Citation preview
2 l
정보보안 침해사고의 특성PART 1
3 l
• 사전 방지 어려움 /
• 사후 원인 규명 곤란
• 재활방지책 마련 곤란
프로젝트 추진 방법론
해킹 수법의 고도화
• 회사 책임 조가 부각 및
여론에 의한 조기 단죄
• 초기 대응 미흡시 소송
패소로 연결 가능
• 집단소송 카페 게시판
여론 형성 피해 보상
요구
- 금감원 , 검찰 /경찰 , 방통위 , 개인정보분쟁조정위 , 소비자원 , 언론매체 등- 민 /형사 및 행정 사건의 동시 다발적 진행
각종 기관의 동시관여 /고객중심의 법해석 분쟁의 집단화 양상
소송 /조정상 위자료 인정사례 증가
( 해킹 피해기업도 책임 인정시 1 인당 1-20 만원 )
4 l
금융기관의 법률적 책임PART 2
주요 금융보안 관련 법령요약
전자금융거래법전자금융감독규정 및
시행세칙
정보통신망 이용촉진 및 정보 보호에 관한
법률
신용정보의 이용 및 보호에 관한 법률
• 전자금융거래 안전성확보와 이용자보호를 위한 각종 의무• 인력 /조직관리 , 외주관리 시설설비기준 , 정보기술시스템상 보호관리대책 ( 해킹방지 , 계정관리등 ), 내부통제에 관한 상세한 기준 준수의무
• 개인정보의 수집 /이용 /제공 /파기에 관한 규제• 개인정보보호를 위한 기술적 , 관리적 조치의무 및 기준 준수의무 ( 방통위 고시 )
-> 위반에 의한 정보유출 사고시 형사처벌• 개인신용정보의 수집 /이용 /제공에 관한 규제• 신용정보전산시스템의 안전보호 - 기술적•물리적•관리적 보안대책 수립의무 • 손해배상 입증책임의 전환
주요법령
개인정보보호법• 개인정보의 수집 /이용 /제공 /파기에 관한 규제• 개인정보의 안전한 관리 ( 유출시 통지의무 )
• 손해배상 입증책임의 전환 및 개인정보 단체소송 도입
금융실명거래 및 비밀보장에 관한 법률
• 실명확인의무 및 실명거래정보의 비밀보호 /누설금지 의무
자본시장과 금융투자업에 관한
법률
• 금융투자회사의 내부통제기준 수립 및 운영 의무
NOTES
6 l
금융기관 의무와 책임전자금융거래법
보안시스템을 통한 접근통제 의무
금융 IT 침해사고 예방ㆍ대응체계 강화 의무고객정보 유출방지 의무
• 금융정보 저장 및 전송시 암호화 및 홈페이지 등 공개용 서버관리 ,
전산 자료 보호대책 , 해킹방지대책 등
•외부에서의 접근통제 , 전 /현직 직원의 내부 서버에 대한 접근 통제 강화 , 홈 페이지 등 공개용 서버 관리대책 등
• IT 아웃소싱 업체에 대한 전문성 ,
보안 수준 등 관리 검토 , 이용자 비밀 번호 관리 등
위반시 금융관련법령 위반에 기한 기관 및 관련 임직원 제재
대고객 손해배상책임의 근거인 금융기관의 과실책임 간주
7 l
금융기관 의무와 책임정보통신망법
보안시스템을 통한 접근통제 의무 개인정보의 암호화 고객정보 유출방지 의무
• 고객정보 , 거래정보 , 신용정보 등의 전송ㆍ저장시 암호화 기술 등 기술적ㆍ관리적 보호조치• 내부관리계획의 수립 및 시행 ,
접근 통제 , 접속기록의 위 /변조 방지 등• 임직원 및 아웃소싱 상주직원에 대
한 자료 유출 경로 차단
•방화벽 , 침입차단시스템 등 설치 /운영• 고객정보 , 금융정보 , 거래정보 등 안전 한 암호알고리즘으로 암호화하여 저장
기술적․관리적조치 미이행으로 인한 누출 등 의무소홀의 경우 2 년이하 징역 또는 1천만원 이하 벌금 및 과징금 /과태료 처분
8 l
신용정보법
신용 정보제공ㆍ이용자
( 고객 및 직원의 ) 신용정보
민감정보 수집금지개인식별정보 이용 · 제공 동의
X
X
X
원칙적 동의 필요
신용정보관리ㆍ보호인
정보통신망법
정보통신서비스제공자및 준용사업자
고객정보
민감정보 수집 동의
X
X
사전고지 및 동의 , 보호조치
원칙적 동의 필요
개인정보 관리책임자
개인정보보호법
개인정보처리자( 업무상 개인정보 취급자 )
고객정보 + 직원정보
민감정보 및 고유식별정보 처리 동의
CCTV 설치ㆍ운영상의 제한
정보주체 통지 및정부 신고의무
사전고지 및 동의
동의 불요( 단 , 공개의무 및 고지의무 있음 )
개인정보 보호책임자
수범자
대상정보
민감정보 및고유식별정보
CCTV 운영
처리 등의 위탁
국외이전
개인정보보호책임자
정보유출통지 및 신고
금융기관 의무와 책임개인정보 관련 법령 비교
9 l
관련 규정 위반시 기관 및 CEO 등 임직원 엄중 문책 예고I
금융 IT 보안기준 및 사고 후 책임에 관한 감독법규 규제를 상향 예정III
강도 높은 검사와 주요 지적사항 관련 내규 및 매뉴얼 관리소홀 , 보안전담조직 운영 부적정 , 해킹방지대책 불철저 고객정보관리 및 처리 부적정 , 보안관제 등 아웃소싱업체 계약 /관리 부적정 서버 내부 사용자계정 관리 부적정 , 고객정보 비암호화 , 네트워크 보안 부적정 등
II
현장검사단계부터 정확한 사실관계에 기반한 관련 법률의 정확한 해석 필요 IV
금융감독당국의 대응
10 l
2008 년 정보통신망법
기술적 , 물리적 , 관리적 보호대책 ( 방통위 고시 ) 불이행으로 인한 정보유출의 경우
2 년 이하 징역 또는 1 천만원 이하 벌금 /양벌규정
I
금융기관의 경우 , 입건 후 처벌사례 없으나 최근 환경 크게 변화III
주요 관리소홀점
고객정보 비암호화 , 접근통제 불철저 , 알려진 취약점 미대응 등II
경찰 사이버수사대 / 검찰 첨단범죄수사부 관심 증대
피해 금융기관의 과실점에 대해 정보통신망법위반죄로 입건 여부 적극 검토 중IV
사법당국의 대응
11 l
금융감독법령위반임직원 및 기관제재
민사상 손해배상 책임
정보유출에 대한형사 책임( 정통망법 위반 )
대고객등 신뢰 훼손
금융기관의 법류 리스크
법적위험
01 02
04 03
12 l
전자금융 감독규정 개정안의 이슈PART 3
13 l
금융기관이 법률적 위험에 노출되어 있어 이를 예방하기 위한 법률 자문도
정보보호를 위한 비용 항복에 포함하도록 감독당국의 유권해석 또는 문구 수정
별표 2 중 정보보호 관련 컨설팅 비용 및 정보보호컨설팅 분류표에 IT/
정보보호 관련 법률 자문이 포함되는지 불분명
제 8조 ( 인력 , 조직 및 예산 ) 제 3항 "제 1 항 제 1 호의 인력에 관한 기준은
< 별표 1> 과 같으며 , 제 2 항의 예산에 관한 기준은 < 별표 2> 와
같다 ."
정보보호 컨설팅의 범위
개정안개정안
이 슈이 슈
의 견의 견
14 l
비밀번호 생성 규칙
문구를 명확히 수정
방통위 고시와 비교하였을 때 , 8 자리에 숫자 , 영문자 , 특수문자가 모두
들어가야 하는 것인지 그 중 2 가지만 혼합되면 되는 것인지 문구가 불분명하
고 , 정보통신망법에 의하여 적용되는 방통위고시의 내용과도 불일치
cf. 방통위 고시 - 다음 각 목의 문자 종류 중 2 종류 이상을 조합하여 최소 10
자리 이상 또는 3 종류 이상을 조합하여 최소 8 자리 이상의 길이로 구성 ( 가 .
영문 대문자 (26 개 ), 나 . 영문 소문자 (26 개 ), 다 . 숫자 (10 개 ), 라 . 특수
문자 (32 개
제 12 조 ( 단말기 보호대책 ) 제 3호 "비밀번호는 생년월일 , 주민등록번호 ,
전화번호를 포함하지 않는 숫자와 영문자 및 특수문자 등을 혼합하여 8자리
이상으로 설정하고 분기별 1 회 이상 변경할 것 "
개정안개정안
이 슈이 슈
의 견의 견
15 l
정보보호 제품에 대한 인증
외국계 금융기관의 경우에 본사가 사용하는 정보보호제품의 사용을 허용
“국가기관”을 대한민국으로 한정하여 해석하는 경우 , 현재 인증 국가기관은
국정원 밖에 없고 , 해외 보안 업체들은 암호 소스를 국정원에 제공하고 있지
않음
따라서 문언상으로는 해외 정보보호제품은 사용할 수 없게 되는 결과가 되고 ,
외국계 금융기관이 여러 국가에 통일적인 보안 시스템을 구축하거나 , 더 우수한
외국산 제품을 사용하기 곤란해짐
제 15 조 ( 해킹 등 방지대책 ) 제 2 항 제 1 호 "정보보호 시스템에 사용하는
정보보호제품은 국가기관의 평가•인증을 받은 장비를 사용할 것 "개정안개정안
이 슈이 슈
의 견의 견
16 l
보안프로그램의 해제
고객 본인이 동의할 경우에 보안프로그램을 아예 설치하지 않도록 문구를
명확히 하거나 , 유권해석
단서의 해석과 관련하여 보안프로그램을 먼저 설치하고 해제해야만 하는 것인지
고객 본인이 동의하는 경우에는 보안프로그램을 아예 설치하지 않을 수 있는지
문제됨
후자의 경우 고객이 다양한 인터넷 브라우저를 사용할 수 있도록
보안프로그램을 개발 , 제공하는 것이 수월해지나 , 기존 금감원 입장은 전자의
입장으로 보임
제 34 조 ( 전자금융거래 시 준수사항 ) 제 2 항 제 3호 "해킹 등
침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에
보안프로그램 설치 등 보안대책을 적용할 것 ( 다만 , 고객의 책임으로 본인이
동의하는 경우에는 보안프로그램을 해제할 수 있다 )"
개정안개정안
이 슈이 슈
의 견의 견
17 l
고객정보 유출사고와 위기관리PART 4
18 l
사고 인지 경위
유출 사고 발생
0101협박 ( 공갈 ) 접수협박 ( 공갈 ) 접수
자체모니터링자체모니터링
0202외부제보외부제보
0303경찰수사 개시경찰수사 개시
0404
제일 먼저 해야하는일은 ?
19 l
첫번째 어려움공개와 비공개
1 공개할 경우 해야 할 일
• 방통위 /금감원 등 유관기관 신고
• 경찰에 수사의뢰
• 언론에 보도자료 배포
• 고객에 통지
2 공개할 경우 감당해야 할 외부 도전
• 방통위 /금감원의 현장 조사
• 경찰의 수사
• 언론 보도
• 인터넷의 추측성 소문 , 악성 비방
• 고객들의 문의 쇄도 및 보상 요구
• 집단소송 카페 개설
20 l
비공개가 정답인가 ?
1 해커의 은밀한 유혹
• 원하는 돈을 보내주면 모든 자료를 파기하고 절대 비밀을 지키겠다 .
• 선수끼리 선수답게 해결하자 .
• 자료는 나만 갖고 있다 .
2 고객정보 파기 약속을 믿을 수 있을까 ?
• 보안이 잘 되어 있는 기업에 대한 해킹은 그룹으로 이루어짐
• 금품도 받고 고객정보도 팔아 버릴 가능성 ?
• 협상 주체와 다른 이해관계를 가진 공범의 존재
• 많은 시일이 지난 후 다시 마음이 변할 가능성
21 l
비공개 후노출될 경우
해커와 타협한 후 해킹 사실이 노출될 경우
• 기업의 명성에 미칠 영향
- “고객들의 2 차 피해를 막기 위한 조치를 하기는 커녕 자신의 과오를 숨긴 기업”
- 고객 이탈로 사업에 위기 초래 가능성 높아짐
• 형사소송에 미칠 영향
- 형사 입건될 가능성 급상승
- 처벌형 높아질 가능성 급상승
• 민사소송에 미칠 영향
- 2 차 피해를 주장하며 집단 소송 제기 가능성 높아짐
- 법원이 과실을 인정하여 손해배상을 명할 가능성 높아짐
- 손해배상액이 급격히 높아질 가능성 .
22 l
공개 결정 !
1 결정은 신속할 수록 좋음
• 공개 결정을 지연한 사이에 노출될 경우 단점 발생
• 뒤늦게 공개할 경우에 2 차 피해 예방을 하지 못하였다는 비난 발생
2 공개할 경우 감당해야 할 외부 도전
• 방통위 /금감원 /행안부의 현장 조사 , 행정처분
• 수사기관의 해커 수사 협조 요청
• 수사기관의 회사에 대한 과실 여부 조사
• 한국소비자원의 분쟁조정 절차
• 개인정보분쟁조정위원회의 분쟁조정 절차
• 금융소비자연맹 등 시민단체의 성명발표 , 정보공개 요구
• 각종 추측성 , 비난성 언론 보도 / 악의적 오보
• 인터넷의 추측성 소문 , 악성 비방
• 고객들의 문의 쇄도 및 보상 요구 /집단소송 카페 개설
• 내부 직원 단속
• 사건 경위의 정확한 파악 등
23 l
방통위 / 금감원 / 행안부의 현장조사 / 행정처분
1 침해사고 신고 의무
• 정보통신망법
• 전자금융감독규정
• 개인정보보호법
2 현장조사
• 방통위 /행안부의 현장조사
• 금감원의 특별검사
3 행정처분
• 과태료 , 과징금
• 영업정지 ( 취소 ), 임원 /기관 징계
24 l
경찰 조사와 형사 입건
정통망법상 개인정보 분실 등 죄
• 제 73 조 ( 벌칙 ) 다음 각 호의 어느 하나에 해당하는 자는 2 년 이하의 징역 또는 1 천만원 이하의 벌금에 처한다
1. 제 28 조제 1 항제 2 호부터 제 5호까지 ( 제 67 조에 따라 준용되는 경우를 포함한다 ) 의 규정에 따른
기술적 · 관리적 조치를 하지 아니하여 이용자의 개인정보를 분실 · 도난 · 누출 · 변조 또는 훼손한 자
• 제 28 조 ( 개인정보의 보호조치 ) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적 · 관리적 조치를 하여야 한다
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 ·운영
3. 접속기록의 위조 · 변조 방지를 위한 조치
4. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
• 개인정보의 기술적 , 관리적 보호조치 기준 ( 방통위 고시 )
• 동 기준 해설서 ( 한국인터넷진흥원 )
25 l
경찰 조사와 형사 입건정보통신망법 28 조 1 항 2 호 ~5 호 각호 및 이에 따른 고시 위반이 개인정보 분실 등의 원인이 되었을 때
사례에서 많이 발생하는 고시 위반 사유
• 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영
- IDS, IPS 의 운영
- IP 주소 등으로 접근 통제
- 웹서버의 개인정보시스템 여부
• 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치
- 개인정보 중 주민번호 , 비밀번호 암호화 . 로컬 저장시 전 개인정보 암호화 ( 로그 속 개인정보 )
- 비밀번호의 작성 규칙 ( 6 자리 , 8 자리 )
- 전송구간의 암호화
- VPN 접속시 추가 인증
• 백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치
- 백신의 설치 및 주기적 업데이트
26 l
언론 대응
1 언론 대응을 회피하거나 , 적극적으로 이용하는 것은 바람직하지 않음
• 해킹 의심 정황 발견 사실 , 2 차 피해예방을 위한 고객들의 조치 요구 등 회사가 취해야 할 조치
와 관련된 언론 브리핑은 신속하고 적극적으로 전개
• 언론을 자극할 경우 , 추측성 보도로 이어져 결과적으로 후속 대응에 심각한 지장 초래2 해킹의 정확한 경위가 밝혀지기 전 원인 /결과에 대한 언급은 부적절
• 해커가 검거되기 전에는 유출 의심 정황이 있을 뿐 정확한 유출 자료는 확정되지 않음
• 해커가 검거되기 전에는 정확한 해킹 경로는 밝혀지지 않음
3 집단 소송의 원고는 언론 보도를 주된 증거로 사용
• 회사의 부적절한 언급은 집단소송을 독려하는 효과
• 특히 , 언론의 부정확한 보도 , 추측성 보도를 소송상 증거자료로 제출
3 부정확한 보도에 대해서는 즉시 정정 보도자료를 배포함이 바람직
• 문제된 부분에 대해서만 지적
• 정정보도 과정에서 지나친 언급은 자제
27 l
고객 대응 / 집단소송 대응
1 고객 대응 지원 체계 강화
• 언론보도 직후부터 고객 문의 쇄도 , 불충분한 대응은 불리한 여론 형성으로 집단 소송 등에 영향
• 온라인 , 전화 , 방문 등 모든 상황에 대해 대응 요령 준비하여 시행
• 법무팀의 검토 하에 모범 문답을 준비
• 2 차 피해 방지 , 고객 정보 변경 등 필요 최소한 조치는 적극적으로 안내
• 해킹의 원인이나 전체 피해규모에 대해서는 ‘정확한 진상 규명중’
2 집단 소송 카페 등 움직임 관찰
• 언론의 오보가 여론을 자극할 경우에 적극적으로 해명하고 적절한 조치
• 피해 고객을 위해 필요한 조치 검토
- 법적 책임을 미리 인정한 것으로 오해될 소지가 있어 시행에 있어서는 신중한 검토
28 l
기타 유관기관 대응
1 한국소비자원
• 분쟁조정절차 있음
• 충분한 조사 없이 적극적으로 회사의 과실 인정 및 배상금 인정하는 경향
• 책임을 인정할 경우에 소송에 미치는 영향이 지대하므로 이의 제기 필요
2 개인정보분쟁조정위원회
• 위와 비슷
• 1 인당 배상금액을 100 만원 단위의 고액으로 인정한 사례 다수
• 1 인이 제기한 조정이라고 할지라도 집단소송의 원고수만큼 배상 청구와 마찬가지이므로 신중하게 대응
3 금융소비자연맹 등 시민단체
• 회사 방문 , 정보공개 요청 , 유관기관에 영향력 행사 등 적극적으로 활동
• 면담 , 최소한 정보 제공 등 적절하게 대응
29 l
소송 대응형사소송
1 수사기관의 수사
• 경찰
- CTRC, CCI
• 검찰
- 첨단범죄수사부
• 수사에 적극적으로 협조하면서 이슈에 신속한 해명
• 기술적 사실관계의 정확한 확정이 중요
- 엔지니어들의 속단 , 부적절한 법적 효과 해석
- 현업 직원들의 은폐 심리 , 보안부서의 동조 심리 참작
2 공판
• 관련 민사소송에서 공판기록 확보 시도
• 집단소송의 대리인이 해킹 피고인 무료 변론 사례 등
30 l
소송 대응민사소송
1 전국에 소송 제기
• 개인 , 단체가 산발적으로 전국에 소송 제기하여 수십건의 소송 동시 진행
• 패소판결 선고 등 다양한 파급 효과를 고려한 소송 운용 전략 필요
2 지급명령
• 이의 제기
3 본안소송
• 1 심부터 3심까지 최소 3년 이상의 기간이 소요되는 장기전
• 원고의 주장 , 입증을 기다려 필요 최소한으로 답변하는 전략
• 집단 소송 사건 /유력 변호인 사건에 소송력 집중하고 다른 사건은 이에 병합하거나 기일 추정하는 전략
• 소송상 쟁점이 되는 기술적 사항의 반론 준비
• 전문가 증인 , 관련 기관 의견서 , 문헌 /참고자료 확보 등
• 소송에 불리한 영향을 미치는 외부적 요인 검토 및 이에 대한 조치
• 언론보도 , 경찰 수사결과 발표 , 유관기관의 조치 , 시민단체의 활동 등
31 l
감사합니다 .
32 l
Q & A
![[금보원2016 01]전자금융과 금융보안 제3호](https://img.pdfslide.tips/doc/110x75/579076831a28ab6874b98825/2016-01-3.jpg)
![[Tek] 바람직한 인터넷 산업 규제정책 20160706 구태언](https://img.pdfslide.tips/doc/110x75/5871d5f71a28ab423c8b6953/tek-20160706-.jpg)
