Embed Size (px)
Citation preview
롯데카드(주) CISO 정보보호부문장 前 침해사고대응팀협의회 (ConCERT) 운영위원 (2008~2013)
前 스마트정부 오픈포럼 위원 (핚국정보화짂흥원, 2010~2013)
前 국가인적자원개발 컨소시움 컨설팅붂과 위원장 (KISA,2013~2014)
現 핚국CPO포럼 위원 (2009~ )
現 핚국CISO협의회 위원 (2010~ )
現 금융보앆포럼 운영위원 (금융보앆원, 2010~ )
現 핚국정보처리학회 이사 (2012~ )
現 핚국정보보호학회 부회장 (2011~ )
• 1987 경북대학교 통계학 졸업• 2015 고려대 정보보호대학원 정보보호젂공 석사 졸업
• 1987 STM(現. LGCNS) 보앆팀 입사• 1998 LG그룹 IT보앆감사팀장• 2000 ㈜시큐어소프트 보앆컨설팅사업본부 상무• 2004 이니텍㈜ 보앆컨설팅사업본부 상무• 2008 롯데정보통싞 통합젂산센터 부문장, 상무
•2008~2014.2 롯데그룹 정보보호위원회 갂사•2014.3~ 롯데카드 정보보호부문장 CISO , 상무
• Book: 2012 개인정보관리사 수험서 Privacy Dictionary 공저※ 수상: 2011 대핚민국 사이버앆젂대상 국무총리 표창
※ CISO: Chief Information Security Officer, CPO: Chief Privacy Officer
롯데카드(주) CISO
최동근상무정보보호부문장
CISO
2015. 9. 7
협력 업체/ 내부자에 의한 정보 유출
한국SC은행·씨티은행 고객정보 유출 (2013.12.11)
• 협력업체 및 내부 직원이 고객정보를 유출(USB, 출력)
• 이름, 연락처, 대출액, 대출금리, 대출만기일자 등 유출하여 불법 대출 활용
• 전산프로그램 개발 업무를 맡은 외주업체 직원의 프로그램 조작으로 보안해제
• 고객정보 출력 및 인쇄 시 보안 프로세스 통제 미흡
대출 모집인
① 대출채무자 정보A4용지 1,100장 출력씨티은행
내부직원
① 프로그램조작을통해USB로 고객정보유출SC은행의
개발 용역 직원 10만 4천여명고객정보 불법활용
대출 모집인
3만 4천여명대출정보 불법활용
정보보호 사고 사례
박모씨
1.회원 가입신청서 폐기 지시
범행공모(친구)
4.금전요구 협박(200억 원 요구)
C사 직원 김모씨
C사 직원 김모씨
5.협상 시도(금전 및 유흥 제공)
피의자 일당
6.경찰에 신고
7.피의자 일당 검거
3. 회원가입신청서판매(20만부)
C사
2. 금전 제공(14만원)
백화점 협력업체 직원이 멤버스카드 가입 신청서를 유출,
유출 사실로 금전 요구 협박
협력 업체에 의한 정보 유출
백화점
KT, 개인정보 유출사고 (I) 경찰청 수사발표 자료 (2012년 7월)
- 해킹 프로그램 제작, 800만 개인정보 유출- 손해배상 청구소송 1심에서 1인당 10만원씩 배상
(2만8천여명, 29억배상)
협력 업체에 의한 정보 유출
KT, 개인정보 유출사고 (II) (2014년 3월)
2013년 2월부터 최근까지 KT 홈페이지를 해킹하여 약 1천만 개인정보 유출
'파로스' 라는 송수신 데이터 분석 프로그램을 이용하여 유출
전문해커 및 텔레마케팅 업체 임원 (전직해커) 등에 의한 조직적인 계획 범죄
해커 김모(29)씨
텔레마케팅 업체 임원 정모(38)씨
1. 해킹 제안2. 해킹 프로그램 개발
4. 성공 대가로 최소 2.5억 지급
3. KT 홈페이지 해킹
5. 신규고객 유치휴대전화 대리점 3곳
6. 500만명 개인정보 판매
협력 업체/ 퇴직자에 의한 정보 유출
심부름센터 업주 송모(32)씨 등 8명
CJ대한통운 택배기사 강모(49)씨 등 2명
2.아이디/비밀번호 공유
4. 고객 개인정보 유출
5. 고객 개인정보 판매개인정보수집 브로커
1.금전 제공(260만원)
3.배송정보 조회(382회)
CJ대한통운 택배기사 배송정보 조회 프로그램 ID/PW 제공,
제공받은 심부름센터 업주 조회 개인정보 브로커에 판매
내부자에 의한 정보 유출
- 2 -
- 3 -
정보보호 사고 사례 - 퇴사자의 IPCC 접속 및 고객정보 유출
가입자
A유통 아웃소싱 TM사
퇴직
상담원
SM 사
IPCC
회원가입
IPCC
유지보수
위탁 고객정보
조회및상담
TM 업무
위탁
상담원
퇴직
고객정보
유출
퇴직
계정으로
로그인
정보보호 사고 사례 분석
- 4 -
대 상 사고 개요
코웨이 내부직원 198만명 개인정보 유출(경쟁업체 유입)
국민연금 기금운영 대외비자료 유출(자산운용 회사 유입)
카페베네 홈페이지 해킹, 변조
삼성카드SK 하나카드
회사내 마케팅 직원에 의해 고객정보 유출
KT 개인정보 유출로 KT 주식 5% 급락 및 과징금 7억 5,300만원 부과
조선일보 전산망 해킹(실패), 이메일 해킹 공격
한국전력기술 퇴직자 2명에 의해 한국형 신형 경수로 설계 일부 유출
한화손해보험자동차보험 현장출동지원 시스템 해킹, 15만여건 고객정보 유출, 16개월간 미신고은폐
메리츠화재 내부직원에 의한 16만여 보험가입 개인정보 유출
주요 정부, 언론 기관
청와대 홈페이지 및 주요 정부기관 사이버 공격
사고 원인
외부 해킹
내부직원 유출
대리점.협력업체
기술적 공격
내부직원 유출
내부직원 유출
내부직원 유출
내부직원 유출
외부 해킹
외부 해킹
보안 위협 주체
해커
고객정보탈취 등
바이러스 등악성코드
내부 중요시스템
목표 대상
사용자PC
기업기밀정보 개인정보
ID : xxxPW : 123
협력업체외주위탁업체정보유출
개발자유출
내부자정보유출
출입통제접근통제
- 5 -
주요정보들에 대핚 위협주체
정보 유출 / 주체 정보 유출 / 동기
정보유출유형분석 (2005년 ~ 2014년) 국정원
정보주체와 동기
- 6 -
퇴직자 및 외부협력업체, 수탁사 임직원
(72%)
- 7 -
수탁사에 대한 법적근거
1.법적근거
가. 개인정보보호법제26조(업무위탁에따른개인정보의처리제한)
- 안정성확보 조치 등을정기적(최소년 1회이상권고)으로 조사·점검하여야 함
나. 정보통신망이용촉진및정보보호에관한법률제25조(개인정보의취급위탁)
- 수탁사의 개인정보 처리등 정기적으로 조사·점검하여야 함
다. 신용정보의이용및보호에관한법률제17조(수집·조사및 처리의위탁)
라. 사규 ‘개인정보보호지침’ 제51조(개인정보 취급위탁 관리)
- 년 1회이상수탁자에대한실태점검을수행하고 그 결과를 책임자에게 보고
파기위반
수집 및 목적달성 후
미파기
개인정보 삭제 요구 불응
제공위반
개인정보(영상)
불법 제공
개인정보 위탁
업체 관리미흡
영업 양도시
고지 미흡
매출감소
주가하락
신뢰저하
정보유출이 기업에 미치는 영향
개인정보유출
고객이탈
잠재고객외면
경쟁사의비방대상
정보주체의배상소송
- 8 -
순위 내용 비율
1보안사고로 인한 피해가 없어서 필요성 없음
59.5%
2 정보보호에 관심 없음 23.4%
3 예산부족 (ROI 확보 미흡) 23.4%
4 정보보호에 관한 관심 부족 11.7%
5 이미 충분히 투자 했음 4.2%
※ 기업의 인식(정보보호 지출을 하지 않는 이유)
※ 중복응답 포함
출처 : 한국정보보호진흥원(KISA) 정보보호실태조사
※ 정부 및 감독 기관의 정책
인식의 차이
민간 기업의 정보보호에 대한 인식 부족으로 정보보호 분야의 투자 등이 저조하기
때문에 정부는 각종 규제를 통해 정보보호 강화를 의무화하는 추세
- 9 -
출처 : 블루코트코리아 `15.6.23(TheBlue Coat Global Cyber Security Study 2014)
내부자 위협으로 인한 위험의 이해 및 최소화
인식 VS. 행동 : 한국 사용자의 위험한 행동
IT부서의 승인을 받지 않은채 새로운앱을 사용하는 것이 잘못된 행동임을알고 있습니다.
출처가 검증되지 않은 이메일 여는것이 대단히 위험한 행동임을 알고있습니다.
여전히 새로운 앱을 사용하고있다.
검증되지 않은 이메일을 열고있습니다,
인식 vs 행동
- 10 -
기업보안의 문제점은?
1.보안을 단순한 몇 가지 지침으로 해결하려 함
2.보안을 단순히 보안 솔루션 구매로만 해결하려 함
3.보안을 전문 보안업체에게만 일임하려 함
희망은 ? 현실은 !!
교집합이없는 존재
기업 내부 임직원의 정보보호 인식,
조직구성, 활동의 조화가 필요
인식의 차이
Security
- 11 -
N 사의 정보보안관리 상태
N 사의 전산망에서 프로그램 삭제 명령을 내린 노트북의 주인은
협력업체인 I 기업 직원
이 직원은 이 노트북을 들고 농협 내부와 외부로 수시로 드나 듬.
협력업체 직원이 빠르고 쉽게 업무를 진행하도록 관리하는 방식
CIO는 이러한 관행을 통제하기 어려움
→ CIO가 정보보안을
책임지는 것은 적절하지 않음.
CIO(Chief Information Officer)
CIO
조직 내 누가 정보보호를 추진해야 하나?
기업의 정보보안을 담당하는 중역
CSO 역할 수행이 어려운 이유
IT 부서로부터 독립되어 있지 못함
IT부서에 비해 규모가 작음
CIO에 비해 CSO의 위치가 낮음
CSO가 CIO나 현업부서의 임원들을 견제하기 힘듦
→ 최고경영자(CEO)가
최소한의 역할을 해 주어야 함
CSO(Chief Security Officer)
- 12 -
愚 問 賢 答
우 문 현 답
- 14 -
우 문 현 답
• 우리 조직의 정보보호 범위는 어디까지 일까?
• 어느 수준까지 정보보호(개인정보보호) 대응을 하여야 하는 걸까?
• 우리조직의 정보보호 Issue는 어떤 것들이 있을까?
• CEO, CIO 및 他 임원들과 CISO와의 관계는 우리 조직의
정보보호 수준을 높이는데 매우 잘 소통하는가?
우리 기업(조직)은...
※ CISO (Chief Information Security Officer)
- 15 -
우 문 현 답• 우리 조직의 정보보호 Issue는...
어떤 것들이 있을까?
누가 앞장서 해결하여야 하는 걸까?
• 정보보호 인력, 투자를 비용으로 여기시나요?
• 정말로, 정보보호와 편리성, 효율성 등은 반비례하는가?
• 우리 조직은 보앆성 검토를 위핚 인력, 장비 등 준비를 갖추고 있을까요?
정보보호 문제(Issue)는...
- 16 -
정보보호 투자는 비용??이라 인식이 있어, 투자를 꺼리게 된다.
정보보호 활성화는 편리성, 효율성과는 반비례핚다...??
• IT 정보보호를 통핚 비용젃감
싞청서 등 원본 파기, 탈회회원 DB내 정리
싞청서 작성을 패드로 활용 – 저장창고 비용젃감, 문서창고 공갂축소비용젃감, 싞청서
보관, 이동시 정보보호 문제해소
• 정보보호에 대핚 투자는 기본인프라이다.
• 보앆에 대핚 불편핚 시각을 바꾸자!
• (예) 갂편결제 시스템은 사용자에게 편리성을, 그리고 보앆성을 강화핛 수 있다.
정보보호 문제(Issue)는...
- 17 -
우 문 현 답• 우리 조직의 정보보호 현장은 어디까지 일까?
• 현장에서의 관리자(책임자)는 정보보호에 대해 얼마나 알고 있으며, 정보보호
사고 대응 時 어떻게 하는지 알고 있을까?
• 현장에서의 인력을 자체적으로 채용핛 때 정보보호는 제대로 준수될 수 있을까?
현장이 중요하다...
• 우리 직원뿐 아니라, 파견직, 외주인력, 프로젝트 인력들에 대핚 보앆관리 방앆은
적젃하다고 생각하십니까?
• 위수탁 업체들에 대핚 정보보호 점검, 짂단, Audit, 교육 지원 등은 충붂하다?
- 18 -
• 현장의 소리를 직접 가서 듣고, 정보보호 이슈를 적어 보았는가?
- 보고만 받고, 챙긴 적이 없다면, 현장은 정보보호가 되고 있을까?
- 현장은,
고객접점 외부업체 직원 위수탁업체 임직원 외부 프로젝트 개발인력 고객
우 문 현 답• 그럼 무엇을 하여야 하는 걸까?
• 어떻게 하여야 하는 것일까?
• 정보보호는 매년 투자를 다시 해야 하는 것인가?
• 모든 임직원이 정보보호에 대해 본인의 일처럼 책임감을 가지고 일하고
있을까?
- 마케팅, 리스크 붂석, 개발, 현업 비즈니스, 홍보, 총무, 인사, 재무 등등
• 조직의 컴플라이언스 준수는 어느 조직이 맡아야 하는 것인가?
답을 찾아서...
- 19 -
