Embed Size (px)
Citation preview
차 례
1. 실무상 자주 문제되는 사례들
2. 해킹 피해업체에 대한 사법기관의 동향
3. 개인정보보호법 해석상 쟁점
실무상 자주 문제되는 사례들
4 l
1 K 은행 3 만여 명 고객 개인정보 파일이 실수로
이메일에 첨부되어 약 3,700 여 명에 전송 민사 원고 승 (20 만원 )
2 L 전자회사 채용사이트 서버가 해킹 , 입사지원자들의 각종
신상정보와 개인정보 유출민사 원고 승
(31 명 /30 만원 )
3 L 통신회사 가입자정보가 제 3 사이트로 전송과정에서
프로그램 코딩 미비로 개인정보 유출
민사 1 심 원고 승 (5 만원 )
2 심 원고 패
4K 통신회사 /S 통신회사
고객의 동의 없이 개인정보를 제 3 자에 제공하거나 취급위탁하여 제공
영업정지 등 행정재재 ( 방통위 )
5 G 정유사 직원이 고객정보 약 1,000 만 명을 CD 에 담아
유출형사 무혐의민사 원고 패
사건명 사안 개요 결과
5 l5 l
초고속통신사가 고객정보 50 만명을 신용카드사에 매도한 사안
신용카드사는 이 정보를 토대로 회원 유치 통신판매 실행개요1
경과2
쟁점3
교훈4
경찰 수사후 부사장 입건 , 불구속 기소 되어 유죄판결 선고
1 만 8993 명이 집단소송 제기 , 2011. 10. 동의 없는 제 3 자 제공은 1 인당 20 만원 , 동의의 범위를 넘은 제 3 자 제공은 1 인당 10 만원 배상판결 선고 ( 총 37 억 5770 만원 )
‘ 제휴 상품 소개’라는 동의 문구의 적법성
개인정보의 영업적 이용에 관련 법령 검토 미흡으로 1,000 억원대의 우발 채무를 발생시킨 사안
개인정보보호법 시행으로 위반 적발 사례 급증 예상
6 l6 l
필리핀 거주 한국인 해커 -> 해외 IP 이용 -> 고객정보 175 만건 해킹
5 억 입금 협박메일 도착 후 -> CCTV 를 통한 국내총책 및 인출책 검거개요1
경과2
쟁점3
교훈4
경찰청 사이버수사대 : 정통망법에 의한 보안조치 이행여부 점검
금감원 특별 검사 (3 주간 ) : 상시적 보안관제 등 시스템취약점 점검
수사기관 : 기술적 , 물리적 , 관리적 기준 이행 여부 -> 회사의 과실점 검토
금감원 : 전자금융감독법규 위반여부 -> 기관 및 임직원 제재 검토
법률적 이슈화 대비 -> 초기 대응 긴요
사건 초기에서부터 다각적 , 유기적 대응 중요( 사건 분석 , 기관 대응 , 고객 /언론 대응 등 )
7 l
외부 유지보수 업체 직원 -> 은행 내부망에 연결하여 작업하는 노트북에 악성 툴이 설치되어 -> 해커가 이를 매개로 내부망에 침입 -> 삭제 명령을 입력하여 -> 시스템 파일 파괴
수일 간 ATM, 인터넷뱅킹 , 폰뱅킹 , 모바일뱅킹 서비스 거래 중단
개요1
경과2
쟁점3
교훈4
금감원 및 한국은행의 특별검사
서울중앙지검 첨단수사 2 부의 수사 진행
금융기관의 경우 : 전자금융감독법규상 위반사항 -> 제재 여부 검토
유지보수업체의 경우 : 민형사책임 예상
기관 /고객 대응 , 복구 과정 등에 있어 혼선 및 여론 악화 , 부실 대응
7 l
8 l8 l
공개용웹서버 홈페이지 팝업창의 SQL Injection 취약점 이용 -> 시스템 침입
DB 서버상의 DB 테이블 일부를 다운로드 : 약 12,500 개 개인정보 유출개요1
경과2
쟁점3
교훈4
금감원 특별검사 (2 회 , 8 일 ) : 보안조직 및 보안규정 , 보안관제시스템 , 전산시스템 구성의 취약점 점검
경찰청 사이버수사대 : 해커 수사중
동일범의 소행으로 추정되는 타 금융기관 동시 검사 : 일괄 제재 예상
초기단계 자체대응 : 내부 부서별로 각개 대응
검사 마무리단계 : 회사의 예상과 달리 다수의 위규사항 지적
집중적 , 전문적인 대응을 통해 적절한 대응논리 제공 필요
1
개인정보 수집시 고지 , 명시의무 불이행
사전 동의 없이 개인정보수집 / 이용 / 제공
만 14 세 미만 아동 개인정보의 부정수집
개인정보 수집 2
고지한 범위를 초과한 목적 외 이용 / 제공
개인정보처리 위탁시 고지의무 불이행
개인정보의 이용 및 제공
3
영업의 양수도 등의 통지의무 불이행
개인정보보호의 기술적 관리적 조치 미비
개인정보관리자의 부적격 혹은 미지정
개인정보의 유지 , 관리 4
고지한 범위를 초과한 목적 외 이용 / 제공
개인정보처리 위탁시 고지의무 불이행
개인정보의 동의철회 , 파기 /개인
정보의 유출 , 도용 , 침해 대응처리
No 일시 수집 단계 침해 유형 분쟁 조정 결정례
1 2004중고휴대폰 판매 웹사이트를 개설하면서 휴대전화번호 등 개인정보가 포함되어 있는 다른 웹사이트의 게시글을 무단으로 수집하여 자신의 게시판에 게시함
동의 없는 개인정보 수집행위에 해당함위자료로 5 만원 지급 결정
2 2003
통신사업자가 일반전화서비스 가입고객의 정보를 자사의 초고속 인터넷 서비스 TM 에 사용하겠다는 목적을 개인정보 수집시 ( 일반전화 서비스 가입시 ) 고지하지 않음
개인정보 수집시 이용 목적 불고지위자료 20 만원을 지급 결정
3 2003
온라인 게임사업자가 법정대리인의 동의 없이 12 세 아동의 개인정보를 수집함사안에서 아동은 게임사이트에 가입하면서 부모의 동의가 있는 것처럼 부모의 휴대폰으로 이용요금을 결제하였음부모는 휴대폰 결제된 이용요금의 반환을 요구함
14 세 미만자의 법정대리인 동의 없는 개인정보 수집미성년자의 적극적사술과 부모의 관리 감독 소홀을 이유로 50% 과실상계함
No 일시 이용 단계 침해 유형 분쟁 조정 결정례
1 2006
이동통신회사가 증권조회서비스를 제공하는 부가서비스업체 (CP 업체 ) 에게 당해 업체에 대한 민원해결을 위하여 고객의 정보를 제공함가입 당시 고객에게 제휴관계 /위탁처리를 위하여 개인정보를 제공할 수 있다는 포괄적 고지는 있었음
적법한 고지 · 동의 없는 제 3 자 제공임위자료 100 만원 지급 결정
2 2005
인터넷쇼핑몰업체가 고객들에게 이메일로 사전 동의를 구한 후 리서치 회사에 의뢰하여 설문조사설문 조사의 안내 및 동의를 구하는 전자우편을 받지 못한 회원임에도 개인정보가 제공됨
동의 없는 제 3 자 제공에 해당함위자료로 30 만원 지급 결정
3 2002
인터넷쇼핑몰운영자가 자신이 배포한 S/W 로 인해 컴퓨터에 이상이 생긴 고객의 항의를 해결 하고자 해당 S/W 제작업체에 고객정보를 제공함제작업체가 고객에게 원인설명 · 치료 · 사과 등의 조치를 취하려고 연락을 취함
동의 없는 제 3 자 제공에 해당함 위자료 20 만원 지급 결정
No 일시 이용 단계 침해 유형 분쟁 조정 결정례
1 2004
초고속인터넷 사업자가 PC 정비 및 보안과 관련된 부가서비스 위탁사실을 고지하지 아니하고 고객의 개인정보를 부가서비스업체에 제공함사업자의 웹사이트에도 “제휴업체가 부가 서비스를 제공한다”는 내용만 명시되어 있음제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음
개인정보 제공자 ( 통신사업자 ) 의 사무 처리를 위한 경우로 제 3자제공이 아닌 개인정보처리위탁임부가서비스를 위탁하여 처리하고자 하는 경우 최소한 수탁자 , 수탁관계 등을 이용자에게 고지하여야 함
2
2006
케이블방송사업자가 인터넷 통신서비스를 제공하는 자회사에 고객정보를 제공 , 자회사가 TM 실시제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 ( 포괄적 문구로 고지 )
개인정보취급위탁이 아닌 제 3 자 제공에 해당함
2004
온라인 보험판매 대행업자가 생명보험사에 고객 정보를 제공 , 보험사가 TM 실시제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 ( 포괄적 문구로 고지 )
해킹 피해 업체에 대한 사법기관의 동향
『 경찰에 따르면 친구 사이인 최 씨 등은 2008년 11월부터 최근까지 중국 해커로부터 2
차례에 걸쳐 100 만원을 지급하고 국내 25 개 사이트 회원의 이름 , ID, 비밀번호 , 주민등록번호 등이 포함된
개인정보 2천여만건을 구입해 온라인 메신저를 통해 알게 된 사람들에게 1 억 5천만원을 받고 판매한 혐의를 받고 있
다 . 』
피해 업체 2곳도 정통망법위반죄로 입건 .
2010. 3. 11. 연합뉴스
『부산경찰청 이재홍 사이버수사대장은 "그동안의
개인정보 유출 사건과는 달리 20여개 업체를 모두 입건해 책임을 물었다 " 며 "개인정보 유출이
심각한 사회문제를 일으키는 만큼 이번 사건을 계기로 업체들의 취약한 정보관리의 심각성을
인식하는 계기가 됐으면 한다 "고 말했다 .
경찰은 이들이 유통시킨 개인정보가 전화금융사기나 메신저 피싱 등에 사용됐을 가능성도 높은 것으로 보고관계기관과 함께
추가조사를 진행하고 있다 . 』
2010. 4. 8. 노컷뉴스
개인정보보호법 해석상 쟁점
17 l17 l
개인정보보호법과 정보통신망법의 적용 범위는 ?
개인정보보호법이 적용되는 업체에 정보통신망법이 적용되는가 ?
처벌규정 등 차이가 있는 행위의 경우에 어떻게 처벌될 것인가 ?
쟁점1
조문2
사례3
해석4
개인정보보호법은 개인정보보호에 관한 기본법 , 다른 법은 특벌법 \
개인정보보호법 제 6조 ( 다른 법률과 관계 ) – 특별한 규정이 있으면 다른 법 적용
온라인 수집 vs. 오프라인 수집 , 양쪽 다 있는 경우 ?
온라인 서비스 vs. 오프라인 서비스 ?, 양쪽 다 있는 경우 ?
온라인 서비스 제공을 위해 수집된 개인정보는 그 수집경로가 오프라인이더라도 정보통신망법 적용
정보수집의 주 목적이 온라인 ( 오프라인 ) 서비스라면 부수적으로 오프라인 ( 온라인 ) 서비스가 제공되더라도 정보통신망법 ( 개인정보보호법 ) 적용
18 l18 l
법 22 조 2 항 소정의 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보의 의미는 ?
동의가 필요한 정보를 동의 없이 처리한 경우 처벌은 ?
쟁점1
조문2
사례3
해석4
동의가 필요 없는 정보 : 수집 / 이용 - 15 조 1 항 2 호 ~6 호 , 제 3 자 제공 - 17 조 2 호(=15 조 1 항 2 호 , 3 호 , 5 호 )15 조 1 항 2 호 ( 법률상 특별규정 , 법령상 의무 준수 불가피 ), 3 호 ( 공공기관이 법령상 업무수행 불가피 ), 4호 ( 정보주체와 계약의 체결 및 이행 불가피 ) , 5 호 ( 정보주체 소재불명시 그 또는 제 3 자의 생명 , 신체 , 재산 이익 ), 6호 ( 개인정보처리자의 정당한 이익이 명백한 경우 )
동의서에 이를 구분하여 기재하여야 함
위반시 1,000 만원 이하 과태료 ( 법 75 조 3 항 2 호 )
서비스 /재화를 공급받을 상대방의 이름 , 연락처 , 주소 등 / 국세청에 제출할 거래내역( 거래 상대방 , 계약금액 , 계약일 등 ) / 채권추심을 위해 추심업체에 채무자 , 채무 정보를 제공할 경우 등
19 l19 l
안전성 확보에 관한 고시에 따라 PC 에 고유식별정보를 저장할 경우 암호화 의무쟁점1
조문2
사례3
해석4
안전성 확보에 관한 고시 7조 8항 : 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리할 경우 상용암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다 .
고시 위반하여 개인정보 분실 , 도난 , 유출 , 변조 , 훼손시 2년 이하 징역 or 1천만원 이하 벌금
어플리케이션이 제공하는 암호화 기능도 이에 해당한다고 보아야 함
안전한 암호 알고리즘이란 , 현재 시대적 상황 /구축에 소요되는 비용 /기업의 재정적 능력에 비추어 도입 가능한 적절한 암호 알고리즘으로 일반적으로 받아들여지는 것
업무용 일반 어플리케이션 프로그램 (MS Office, Oracle 등 ) 의 암호화기능도 이에 포함하는가 ?
안전한 암호화 알고리즘의 의미는 ?
20 l20 l
법 21 조에 따라 개인정보를 파기할 때 복구 또는 재생되지 아니하도록 할 조치의무
시행령 16 조에 따른 영구 삭제 , 파쇄 , 소각의 의미
쟁점1
조문2
사례3
해석4
법 21 조 2 항 개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다 .
시행령 16 조 : 전자적 파일은 복원 불가능한 방법으로 영구 삭제 , 기록물 등 기록매체인 경우에는 파쇄 또는 소각
표준개인정보보호지침 11 조 2 항 : 복원이 불가능한 방법이란 , 사회통념상 현재의 기술 수준에서 적절한 비용이 소요되는 방법
상용 영구삭제프로그램 , 전자기 소거기 , 문서파쇄기 등을 활용하면 법준수성 도달휴지통을 비우는 것 만으로는 복구프로그램으로 복구 가능하므로 법위반 소지손으로 찢거나 CD 를 반토막내는 것은 논쟁 소지
위반시 형사처벌 , 과태료는 없으나 민사상 손해배상의 원인인 불법행위가 됨
PC 의 경우에 윈도즈 휴지통을 비우면 충분한가 ?
기록매체의 경우 손으로 여러번 찢거나 , CD 의 경우에 부수면 충분한가 ?
감사합니다 .
Q & A
![[법무법인 민후 l 김경환 변호사] 개인정보제공위탁의 법률관계 (개인정보보호, 개인정보보호법)](https://img.pdfslide.tips/doc/110x75/55ce6e48bb61eba57e8b4852/-l-55ce6e48bb61eba57e8b4852.jpg)
![[Tek] 바람직한 인터넷 산업 규제정책 20160706 구태언](https://img.pdfslide.tips/doc/110x75/5871d5f71a28ab423c8b6953/tek-20160706-.jpg)
![[법무법인 민후 | 김경환 변호사] 정보보호 관련 법령과 대응방안 (정보보호법,개인정보보호법)](https://img.pdfslide.tips/doc/110x75/55ce3147bb61eb341c8b4755/-55ce3147bb61eb341c8b4755.jpg)
