Embed Size (px)
Citation preview
정보보안 침해사고의 특성
각종 기관의 동시 관여 / 고객중심의 법해석 회사 책임 조기 부각 및 여론에 의한 조기 단죄
해킹 수법의 고도화 사전 방지 어려움 / 사후 원인규명 곤란 /
재발방지책 마련 곤란
소송 /조정상 위자료인정 사례 증가( 해킹 피해기업도 책임 인정시 1 인당 1-20
만원 )
초기 대응 미흡시 소송
패소로 연결 가능
분쟁의 집단화 양상 집단소송 카페 게시판
여론 형성 피해 보상 요구
행안부 , 금감원 , 방통위 , 수사기관 , 개인정보분쟁조정위 , 소비자원 , 언론매체
민 /형사 및 행정 사건의 동시 다발적 진행
개인정보 침해사고의 특징
해킹 피해 기업의 법률상 책임
개인정보보호법에 따른 책임
고유식별번호 암호화 및 홈페이지 등 공개용 서버관리 , 전산자료 보호대책 , 해킹방지대책 등
고객정보 유출방지 의무
외부에서의 접근통제 , 전 /현직 직원의 내부 서버에 대한 접근 통제 강화 , 홈페이지 등
공개용 서버 관리대책 등
보안시스템을 통한 접근통제 의무
수탁업체의 고의 , 과실은 본인의 고의 , 과실로 간주하는 규정 등
침해사고 예방ㆍ대응체계 강화 의무
위반시 행정책임 , 형사책임
및 민사책임 발생
위반시 행정책임 , 형사책임
및 민사책임 발생
불법행위 인정시 손해배상에서 불리한 지위 발생
정보통신망법에 따른 책임
고객정보 , 거래정보 , 신용정보 등의 전송ㆍ저장시 암호화 기술 등 기술적ㆍ관리적 보호조치
내부관리계획의 수립 및 시행 , 접근통제 , 접속기록의 위 /변조 방지 등
임직원 및 아웃소싱 상주직원에 대한 자료 유출 경로 차단
고객정보 유출방지 의무
방화벽 , 침입차단시스템 등 설치 /운영
보안시스템을 통한 접근통제 의무
고객정보 , 금융정보 , 거래정보 등 안전한 암호알고리즘으로 암호화하여 저장
개인정보의 암호화
기술적․관리적조치 미이행으로 인한 누출 등 의무소홀의 경우 형사책임 발생
개인정보보호와 관련한 3 대 기본법령 비교
신용정보법
신용 정보제공ㆍ이용자
( 고객 및 직원의 ) 신용정보
민감정보 수집금지
개인식별정보 이용 · 제공 동의
X
X
X
원칙적 동의 필요
신용정보관리ㆍ보호인
정보통신망법
정보통신서비스제공자
및 준용사업자
고객정보
민감정보 수집 동의
X
X
사전고지 및 동의 , 보호조치
원칙적 동의 필요
개인정보 관리책임자
개인정보보호법
개인정보처리자
( 업무상 개인정보 취급자 )
고객정보 + 직원정보
민감정보 및
고유식별정보 처리 동의
CCTV 설치ㆍ운영상의 제한
정보주체 통지 및정부 신고의무
사전고지 및 동의
동의 불요
( 단 , 공개의무 및 고지의무 있음 )
개인정보 보호책임자
수범자
대상정보
민감정보 및고유식별정보
CCTV 운영
처리 등의 위탁
국외이전
개인정보보호책임자
정보유출통지 및 신고
2008 년 정보통신망법
기술적 , 물리적 , 관리적 보호대책 ( 방통위 고시 ) 불이행으로 인한 정보유출의 경우
2 년 이하 징역 또는 1 천만원 이하 벌금 /양벌규정
I
금융기관의 경우 , 입건 후 처벌사례 없으나 최근 환경 크게 변화III
주요 관리소홀점
고객정보 비암호화 , 접근통제 불철저 , 알려진 취약점 미대응 등II
경찰 사이버수사대 / 검찰 첨단범죄수사부 관심 증대
피해 금융기관의 과실점에 대해 정보통신망법위반죄로 입건 여부 적극 검토 중IV
사법당국의 대응
법적위험
임직원 및 기관제재
민사상 손해배상 책임
정보유출에 대한 형사 책임
( 개인정보보호법 ,
정통망법 위반 )
대고객등 신뢰 훼손
피해 기관의 법률 리스크
고객정보 유출사고와 위기 대응
유출 사고 발생
협박 ( 공갈 ) 접수협박 ( 공갈 ) 접수
자체 모니터링 자체 모니터링
외부 제보외부 제보
경찰 수사 개시경찰 수사 개시
사고 인지 경위
1
2
3
4
제일 먼저 해야 할 일은 ?
첫번째 어려움 - 공개와 비공개
행안부 / 방통위 /금감원 등 유관기관 신고
경찰에 수사의뢰
언론에 보도자료 배포
고객에 통지
공개할 경우 해야 할 일
행안부 /방통위 /금감원의 현장 조사
경찰의 수사
언론 보도
인터넷의 추측성 소문 , 악성 비방
고객들의 문의 쇄도 및 보상 요구
집단소송 카페 개설
공개할 경우 감당해야 할 외부 도전
비공개가 정답인가 ?
원하는 돈을 보내주면 모든 자료를 파기하고 절대 비밀을 지키겠다 .
선수끼리 선수답게 해결하자 .
자료는 나만 갖고 있다 .
해커의 은밀한 유혹
보안이 잘 되어 있는 기업에 대한 해킹은 그룹으로 이루어짐
금품도 받고 고객정보도 팔아 버릴 가능성 ?
협상 주체와 다른 이해관계를 가진 공범의 존재
많은 시일이 지난 후 다시 마음이 변할 가능성
고객정보 파기 약속을 믿을 수 있을까 ?
비공개 후 노출될 경우
기업의 명성에 미칠 영향
“ 고객들의 2 차 피해를 막기 위한 조치를 하기는 커녕 자신의 과오를 숨긴 기업”
고객 이탈로 사업에 위기 초래 가능성 높아짐
형사소송에 미칠 영향
형사 입건될 가능성 급상승
처벌형 높아질 가능성 급상승
민사소송에 미칠 영향
2 차 피해를 주장하며 집단 소송 제기 가능성 높아짐
법원이 과실을 인정하여 손해배상을 명할 가능성 높아짐
손해배상액이 급격히 높아질 가능성 .
해커와 타협한 후 해킹 사실이 노출될 경우
공개 결정 !
공개 결정을 지연한 사이에 노출될 경우 단점 발생
뒤늦게 공개할 경우에 2 차 피해 예방을 하지 못하였다는 비난 발생
결정은 신속할 수록 좋음
행안부 /방통위 /금감원의 현장 조사 , 행정처분
수사기관의 해커 수사 협조 요청
수사기관의 회사에 대한 과실 여부 조사
한국소비자원의 분쟁조정 절차
개인정보분쟁조정위원회의 분쟁조정 절차
금융소비자연맹 등 시민단체의 성명발표 , 정보공개 요구
각종 추측성 , 비난성 언론 보도 / 악의적 오보
인터넷의 추측성 소문 , 악성 비방
고객들의 문의 쇄도 및 보상 요구 /집단소송 카페 개설
내부 직원 단속
사건 경위의 정확한 파악 등
공개할 경우 감당해야 할 외부 도전
방통위 /금감원 /행안부의 현장 조사 /행정처분
정보통신망법
전자금융감독규정
개인정보보호법
침해사고 신고 의무
행안부 /방통위의 현장조사
금감원의 특별검사
현장 조사
과태료 , 과징금
영업정지 ( 취소 ), 임원 /기관 징계
행정처분
경찰 조사와 형사 입건
제 73 조 ( 벌칙 ) 다음 각 호의 어느 하나에 해당하는 자는 2 년 이하의 징역 또는 1 천만원 이하의
벌금에 처한다
1. 제 28 조제 1항제 2 호부터 제 5호까지 ( 제 67 조에 따라 준용되는 경우를 포함한다 ) 의 규정에 따른 기술적 · 관리적
조치를 하지 아니하여 이용자의 개인정보를 분실 · 도난 · 누출 · 변조 또는 훼손한 자
제 28 조 ( 개인정보의 보호조치 ) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의
분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의
기술적 · 관리적 조치를 하여야 한다
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영
3. 접속기록의 위조 · 변조 방지를 위한 조치
4. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
개인정보의 기술적 , 관리적 보호조치 기준 ( 방통위 고시 )
동 기준 해설서 ( 한국인터넷진흥원 )
정통망법상 개인정보 분실 등 죄
경찰 조사와 형사 입건
개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영
IDS, IPS 의 운영
IP 주소 등으로 접근 통제
웹서버의 개인정보시스템 여부
개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치
개인정보 중 주민번호 , 비밀번호 암호화 . 로컬 저장시 전 개인정보 암호화 ( 로그 속 개인정보 )
비밀번호의 작성 규칙 ( 6 자리 , 8 자리 )
전송구간의 암호화
VPN 접속시 추가 인증
백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치
백신의 설치 및 주기적 업데이트
사례에서 많이 발생하는 고시 위반 사유
정보통신망법 28 조 1항 2 호 ~5 호 각호 및 이에 따른 고시 위반이 개인정보 분실 등의
원인이 되었을 때
언론 대응
해킹 의심 정황 발견 사실 , 2 차 피해예방을 위한 고객들의 조치 요구 등 회사가 취해야 할 조치와 관련된
언론 브리핑은 신속하고 적극적으로 전개
언론을 자극할 경우 , 추측성 보도로 이어져 결과적으로 후속 대응에 심각한 지장 초래
언론 대응을 회피하거나 , 적극적으로 이용하는 것은 바람직하지 않음
해커가 검거되기 전에는 유출 의심 정황이 있을 뿐 정확한 유출 자료는 확정되지 않음
해커가 검거되기 전에는 정확한 해킹 경로는 밝혀지지 않음
해킹의 정확한 경위가 밝혀지기 전 원인 /결과에 대한 언급은 부적절
회사의 부적절한 언급은 집단소송을 독려하는 효과
특히 , 언론의 부정확한 보도 , 추측성 보도를 소송상 증거자료로 제출
집단 소송의 원고는 언론 보도를 주된 증거로 사용
문제된 부분에 대해서만 지적
정정보도 과정에서 지나친 언급은 자제
부정확한 보도에 대해서는 즉시 정정 보도자료를 배포함이 바람직
고객 대응 / 집단소송 대응
언론보도 직후부터 고객 문의 쇄도 , 불충분한 대응은 불리한 여론 형성으로 집단 소송 등에
영향
온라인 , 전화 , 방문 등 모든 상황에 대해 대응 요령 준비하여 시행
법무팀의 검토 하에 모범 문답을 준비
2 차 피해 방지 , 고객 정보 변경 등 필요 최소한 조치는 적극적으로 안내
해킹의 원인이나 전체 피해규모에 대해서는 ‘정확한 진상 규명중’
고객 대응 지원 체계 강화
언론의 오보가 여론을 자극할 경우에 적극적으로 해명하고 적절한 조치
피해 고객을 위해 필요한 조치 검토 법적 책임을 미리 인정한 것으로 오해될 소지가 있어 시행에 있어서는 신중한 검토
집단 소송 카페 등 움직임 관찰
기타 유관 기관 대응
분쟁조정절차 있음
충분한 조사 없이 적극적으로 회사의 과실 인정 및 배상금 인정하는 경향
책임을 인정할 경우에 소송에 미치는 영향이 지대하므로 이의 제기 필요
한국소비자원
위와 비슷
1 인당 배상금액을 100 만원 단위의 고액으로 인정한 사례 다수
1 인이 제기한 조정이라고 할지라도 집단소송의 원고수만큼 배상 청구와 마찬가지이므로
신중하게 대응
개인정보분쟁조정위원회
회사 방문 , 정보공개 요청 , 유관기관에 영향력 행사 등 적극적으로 활동
면담 , 최소한 정보 제공 등 적절하게 대응
금융소비자연맹 등 시민단체
소송 대응 - 형사소송
경찰 CTRC, CCI
검찰 첨단범죄수사부
수사에 적극적으로 협조하면서 이슈에 신속한 해명
기술적 사실관계의 정확한 확정이 중요 엔지니어들의 속단 , 부적절한 법적 효과 해석
현업 직원들의 은폐 심리 , 보안부서의 동조 심리 참작
수사기관의 수사
관련 민사소송에서 공판기록 확보 시도
집단소송의 대리인이 해킹 피고인 무료 변론 사례 등
공판
소송 대응 – 민사 소송
개인 , 단체가 산발적으로 전국에 소송 제기하여 수십건의 소송 동시 진행
패소판결 선고 등 다양한 파급 효과를 고려한 소송 운용 전략 필요
전국에 소송 제기
이의 제기
지급명령
1 심부터 3 심까지 최소 3 년 이상의 기간이 소요되는 장기전
원고의 주장 , 입증을 기다려 필요 최소한으로 답변하는 전략
집단 소송 사건 /유력 변호인 사건에 소송력 집중하고 다른 사건은 이에 병합하거나 기일 추정하는 전략
소송상 쟁점이 되는 기술적 사항의 반론 준비
전문가 증인 , 관련 기관 의견서 , 문헌 /참고자료 확보 등
소송에 불리한 영향을 미치는 외부적 요인 검토 및 이에 대한 조치
언론보도 , 경찰 수사결과 발표 , 유관기관의 조치 , 시민단체의 활동 등
본안소송
실무상 개인정보 침해 사례
25 l
1 K은행 3 만여 명 고객 개인정보 파일이 실수로
이메일에 첨부되어 약 3,700 여 명에 전송 민사 원고 승 (20 만원 )
2 L전자회사 채용사이트 서버가 해킹 , 입사지원자들의 각종
신상정보와 개인정보 유출민사 원고 승
(31 명 /30 만원 )
3 L 통신회사 가입자정보가 제 3 사이트로 전송과정에서 프로그램 코딩 미비로 개인정보 유출
민사 1 심 원고 승 (5만원 )
2 심 원고 패
4K통신회사 /S통신회사
고객의 동의 없이 개인정보를 제 3 자에 제공하거나 취급위탁하여 제공
영업정지 등 행정재재 ( 방통위 )
5 G 정유사 직원이 고객정보 약 1,000 만 명을 CD 에 담아
유출형사 무혐의민사 원고 패
사건명 사안 개요 결과
1
개인정보 수집시 고지 , 명시의무 불이행
사전 동의 없이 개인정보수집 / 이용 / 제공
만 14세 미만 아동 개인정보의 부정수집
개인정보 수집 2
고지한 범위를 초과한 목적 외 이용 / 제공
개인정보처리 위탁시 고지의무 불이행
개인정보의 이용 및 제공
3
영업의 양수도 등의 통지의무 불이행
개인정보보호의 기술적 관리적 조치 미비
개인정보관리자의 부적격 혹은 미지정
개인정보의 유지 , 관리 4
고지한 범위를 초과한 목적 외 이용 / 제공
개인정보처리 위탁시 고지의무 불이행
개인정보의 동의철회 , 파기 /개인
정보의 유출 , 도용 , 침해 대응처리
No 일시 수집 단계 침해 유형 분쟁 조정 결정례
1 2004중고휴대폰 판매 웹사이트를 개설하면서 휴대전화번호 등 개인정보가 포함되어 있는 다른 웹사이트의 게시글을 무단으로 수집하여 자신의 게시판에 게시함
동의 없는 개인정보 수집행위에 해당함위자료로 5만원 지급 결정
2 2003
통신사업자가 일반전화서비스 가입고객의 정보를 자사의 초고속 인터넷 서비스 TM 에 사용하겠다는 목적을 개인정보 수집시 ( 일반전화 서비스 가입시 ) 고지하지 않음
개인정보 수집시 이용 목적 불고지위자료 20 만원을 지급 결정
3 2003
온라인 게임사업자가 법정대리인의 동의 없이 12세 아동의 개인정보를 수집함사안에서 아동은 게임사이트에 가입하면서 부모의 동의가 있는 것처럼 부모의 휴대폰으로 이용요금을 결제하였음부모는 휴대폰 결제된 이용요금의 반환을 요구함
14세 미만자의 법정대리인 동의 없는 개인정보 수집미성년자의 적극적사술과 부모의 관리 감독 소홀을 이유로 50% 과실상계함
No 일시 이용 단계 침해 유형 분쟁 조정 결정례
1 2006
이동통신회사가 증권조회서비스를 제공하는 부가서비스업체 (CP 업체 ) 에게 당해 업체에 대한 민원해결을 위하여 고객의 정보를 제공함가입 당시 고객에게 제휴관계 /위탁처리를 위하여 개인정보를 제공할 수 있다는 포괄적 고지는 있었음
적법한 고지 · 동의 없는 제 3 자 제공임위자료 100 만원 지급 결정
2 2005
인터넷쇼핑몰업체가 고객들에게 이메일로 사전 동의를 구한 후 리서치 회사에 의뢰하여 설문조사설문 조사의 안내 및 동의를 구하는 전자우편을 받지 못한 회원임에도 개인정보가 제공됨
동의 없는 제 3 자 제공에 해당함위자료로 30 만원 지급 결정
3 2002
인터넷쇼핑몰운영자가 자신이 배포한 S/W 로 인해 컴퓨터에 이상이 생긴 고객의 항의를 해결 하고자 해당 S/W 제작업체에 고객정보를 제공함제작업체가 고객에게 원인설명 · 치료 · 사과 등의 조치를 취하려고 연락을 취함
동의 없는 제 3 자 제공에 해당함 위자료 20 만원 지급 결정
No 일시 이용 단계 침해 유형 분쟁 조정 결정례
1 2004
초고속인터넷 사업자가 PC 정비 및 보안과 관련된 부가서비스 위탁사실을 고지하지 아니하고 고객의 개인정보를 부가서비스업체에 제공함사업자의 웹사이트에도 “제휴업체가 부가 서비스를 제공한다”는 내용만 명시되어 있음제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음
개인정보 제공자 ( 통신사업자 ) 의 사무 처리를 위한 경우로 제 3자제공이 아닌 개인정보처리위탁임부가서비스를 위탁하여 처리하고자 하는 경우 최소한 수탁자 , 수탁관계 등을 이용자에게 고지하여야 함
2
2006
케이블방송사업자가 인터넷 통신서비스를 제공하는 자회사에 고객정보를 제공 , 자회사가 TM 실시제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 ( 포괄적 문구로 고지 )
개인정보취급위탁이 아닌 제 3 자 제공에 해당함
2004
온라인 보험판매 대행업자가 생명보험사에 고객 정보를 제공 , 보험사가 TM 실시제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 ( 포괄적 문구로 고지 )
2008 년 2월 중국 해커에 의해
1,080 만 명의 고객정보가 유출
현재까지 약 14 만 1 천명이
청구금액 100~200 만원의
집단소송 제기
( 총 청구금액 약 1,500억원 )
쇼핑몰 해킹 사건
2007~2008 년에 걸쳐 미국인 해커를 고용한 해커들에 의해 모아저축은행을 포함 수백 곳의 기관이
해킹 당하였음 . 자세한 피해내역은 안 알려짐
모아저축은행 등 금융거래정보 해킹 사건
정유사 고객정보 해킹 사건
2008 년 10월 개인정보 관리 협력사 직원에 의해 약
1,100 만명의 고객정보가 유출되었다가 검거현재까지 약 4만 1,000 명이 청구금액 100 만원의
집단소송 제기( 총 청구금액 약 400억원 )
* 주요 일간지 및 신문 보도자료 발췌* 주요 일간지 및 신문 보도자료 발췌
『 경찰에 따르면 친구 사이인 최 씨 등은 2008 년 11월부터 최근까지 중국 해커로부터 2
차례에 걸쳐 100 만원을 지급하고 국내 25 개 사이트 회원의 이름 , ID, 비밀번호 , 주민등록번호 등이 포함된
개인정보 2 천여만건을 구입해 온라인 메신저를 통해 알게 된 사람들에게 1억5천만원을 받고 판매한 혐의를 받고 있
다 . 』
피해 업체 2곳도 정통망법위반죄로 입건 .
2010. 3. 11. 연합뉴스
『부산경찰청 이재홍 사이버수사대장은 " 그동안의
개인정보 유출 사건과는 달리 20여개 업체를 모두 입건해 책임을 물었다 " 며 "개인정보 유출이
심각한 사회문제를 일으키는 만큼 이번 사건을 계기로 업체들의 취약한 정보관리의 심각성을
인식하는 계기가 됐으면 한다 "고 말했다 .
경찰은 이들이 유통시킨 개인정보가 전화금융사기나 메신저 피싱 등에 사용됐을 가능성도 높은 것으로 보고관계기관과 함께
추가조사를 진행하고 있다 . 』
2010. 4. 8. 노컷뉴스
감사합니다 .
Q & A
![[Tek] 바람직한 인터넷 산업 규제정책 20160706 구태언](https://img.pdfslide.tips/doc/110x75/5871d5f71a28ab423c8b6953/tek-20160706-.jpg)
