개인정보보호법 침해 사고 사례에 대해 알아보겠습니다.
1) 비밀번호 관리 소홀
* 비밀번호
: 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보.
* 사례
B 업체는 여행 중계 업체이다. A씨는 최근 B 업체에 개인정보 담당자로 입사하였다. A씨는 인수한 업무 정보를 업무 편의를 위하여 윈도우의 '스티키 노트'에 적어 저장하였다.
그러나 현장점검 결과, A씨의 개인 업무용 PC에 개인정보처리시스템의 계정 정보(ID/PW)가 평문으로 저장된 것으로 드러났다.
이 경우 비인가자의 접근이 가능하여 개인정보처리시스템에 대한 안정성이 심각하게 훼손될 수 있다. 따라서 개인정보처리시스템 등 주요시스템의 계정 정보는 개인 업무용 PC등에 평문으로 저장해서는 절대로 안 된다.
- 2018.04. 개인정보 실태 점검 및 행정 처분 사례집
개인정보 안전성 확보조치 기준 [시행 2017.07.26.]
제7조 개인정보의 암호화
1) 개인정보처리자는 고유 식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
2) 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
3) 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demillitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
4) 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에은 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
여기서, 개인정보처리자라는 기준은 개인 및 법인도 포함되어 있는 개념이기 때문에 조직이 패스워드 관리를 부적절하게 했다는 것은 개인이 속한 조직이 부적절하게 한것이기 때문에 법인도 포함.
판결 - 3000만원 이하의 과태료 처분
* 법령 이해
1. 비밀번호는 신분에 관계 없이 매우 중요한 정보
2. 비밀번호는 컴퓨터 내 평문으로 기록 불가.
3. "개인정보처리자"는 법인도 포함된 개념. 즉, 처리자의 감독을 받는 조직 내 모든 인원은 관련 법률 준수 필요.
2) 개인정보 수집
* 개인정보
1. 성명, 주민번호 등을 통하여 살아있는 개인을 알아볼 수 있는 정보.
2. 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보.
최근에는 IT정보(IP, GPS 정보 등)을 통해서 개인을 알아볼 수 있다.
* 사례
한 외식업체에서 재능 기부 명목으로 제빵사 및 바리스타 인재 양성 프로그램 진행의 일환으로 지원자가 몰리게 되었다.
업체는 지원자를 모집하기 위하여 지원서 양식을 다운로드 받을 수 있게 하였고, 지원서는 담당자 업무용 이메일로 접수 받음.
이 과정에서 A업체는 상당수의 개인정보를 수집하게 되었으나, 지원자들로부터 해당 개인정보 수집 및 처리 등에 대한 어떠한 동의도 받지 않았다.
* 법령 해석
개인정보보호법 제15조 개인정보의 수집,이용
1) 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
2) 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
5000만원 이하의 과태료 처분
1. 개인정보의 수집, 이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
-개인정보보호법 [시행 2017.10.19]-
* 법령 이해
1. 개인정보 수집 최소화를 위한 절차.
2. 개인정보가 언제, 어디에, 어떻게 사용되는지 등을 상호간 확인.
3) CISO/CPO 겸직
* CISO (Chief Information Security Officer) : 정보보호 최고책임자
* CPO (Chief Privacy Officer) : 개인정보 보호책임자
정보보호 - IT 업무, 해킹, 사이버 공격 방어, 순수하게 IT업무
개인정보 - IT 업무 포함, 문서 상으로 처리되는 비 IT업무 포함, 개인정보=IT업무+비IT업무
* 사례
A대학교는 재학생과 졸업생등의 전체 관리를 위해서 온/오프라인 시스템을 연계하여 학생들의 개인정보를 관리하고 있다. A 대학교는 많은 학생들의 개인정보를 수집하여 관리하다보니, 이러한 업무를 책임지는 개인정보 보호책임자로 전산 담당부서장인 정보 처장을 지정하고 있다.
그러나 A대학교는 개인정보보호법 제2조제6호에 따라 '공공기관'에 해당하므로 개인정보보호책임자를 지정할 경우 임의적인 판단에 의해서가 아니라 정해진 자격 요건에 따라 개인정보보호책임자를 지정하여야 한다.
따라서 A대학교는 정보처장이 아니라 학교 행정 사무를 총괄하는 사람을 개인정보보호책임자로 지정하여야 한다.
-2018.04. 개인정보 실태 점검 및 행정 처분 사례집-
* 법령해석
정보통신망법 [시행 2019.06.13]
제 45조의3(정보보호 최고책임자의 지정 등)
1) 정보통신서비스를 제공하는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스의 제공자의 경우에는 정보보호최고책임자를 지정하지 아니할 수 있다.
<개정 2014. 5. 28., 2017. 7 26., 2018. 6. 12>
2) 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다. <신설 2014. 5. 28>
3) 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스의 제공자의 경우로 한정한다)는 제 4항의 업무 외의 다른 업무를 겸직할 수 없다. <신설 2018. 6. 12>
4) 정보보호최고책임자는 다음 각 호의 업무를 총괄한다. <개정 2014. 5. 28, 2018. 6. 12>
1. 정보보호관리체계의 수립 및 관리, 운영
2. 정보보호 취약점 분석, 평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계, 구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
1000만원 이하의 과태료 처분
* 법령 이해
1. CISO는 직무 외의 업무 수행 시, 점점 흉악해지는 사이버 범죄 예방 및 대응을 위한 직무에 충실할 수 없다는 취지.
2. 개인정보 업무는 IT 범위 밖에도 존재한다는 것을 인지
3. 마찬가지로 CISO는 CIO, CFO, CTO 등의 직무 겸직 불가.
여러 현업 부서에서 업무의 일환으로 문서 또는 기타의 형태로 개인정보를 수집을 하는 경우가 있다. 이렇기 때문에 일반 전산부서 담당자가 CPO를 할 경우 업무 처리가 용이하지 않기 때문에 최고 행정 부서의 장이 CPO를 하는 것이 좋다.
----> 지금까지는 사고가 터지기 전의 사례
이제부터는 실제 망령 출몰?의 사례
4) 피싱/스미싱
* 피싱(Phishing) : 개인정보(Private data) + 낚시(Fishing)
* 스미싱(Smishing) : 메세지(SMS) + 피싱(Phishing)
* 피싱/스미싱 예방법
1. 메시지/이메일 전송자의 신원 확인
- 지인이면 직접 통화, 스팸 차단 어플 활용(whowho, 사이버캅 등)
2. 메시지/이메일 내 링크/첨부파일 열람 유도 주의.
- 이메일은 "답장" 혹은 "전달하기"로 열람.
- 미상의 상대로부터 받은 메시지 내 링크/파일 클릭 금지.
3. 중요 정보는 공식 사이트에서 확인.
- 민방위 -> 국가재난정보센터, 반송 -> 각 택배회사, 차량 단속 -> 경찰청 교통민원24
4. 보안 취약점 최소화.
- PC/모바일 백신 설치 및 최신화 (다운받은 파일 수동 점검)
- 잠금 상태 및 주요 문서 비밀번호 설정.
- 운영체제 보안 업데이트 등.
5) 랜섬웨어
랜섬웨어(Ransomware) : 몸갑(Ransom) + 소프트웨어(Software)
ex) 에레버스(Erebus) : 13억원 갈취에 성공한 랜섬웨어
주로 비트코인 등 암호화폐를 요구
* 예방법
1. 데이터 정기 백업 및 복구 연습
- 백업/복구 계획 수립.
- 백업 스케줄 외의 시간엔 백업시스템 오프라인 구성.
2. 불법사이트 접근 금지 및 피싱 예방 실천
- 크랙 소프트웨어, 불법 영상, 도박 사이트에서는 악성코드 감염 확률 증가
- 미상의 상대로부터 받은 메세지 내 링크/파일 클릭 금지.
3. 보안 취약점 최소화.
- 백신 설치 및 최소화
- 잠금 상태 및 주요 문서 비밀번호 설정
- 소프트웨어 버전 최신화.
- 운영체제 보안 업데이트
- 관리자 PC 망분리 등
6) 내부망 해킹 사례
안랩 PMS 패치관리서버 해킹사례(군부대)
인터넷망에 백신서버 존재 (내부망과 연결되어있었음)
1) 동일 서버 식별
2) 악성코드 업로드
3) 악성코드 확산
4) 기밀 유출
* 내부망 해킹 예방법
1. 시스템 접근 통제 강화.
- IP/MAC 주소를 등록하여 관리자 외 접근 금지.
- 시스템 접근이력 정기 점검.
2. 망분리 접점 관리.
- 외부인이 사용하는 컴퓨터/USB 등의 장치는 내부망 접촉 금지.
- 외부인이 네트워크 관련 작업 시 관리 및 감독 철저.
- 시스템 도입 시 네트워크 설정 및 구성의 충분한 검토(무선 등.)
- 네트워크 케이블 색상 구분.
- 네트워크 별 장비 위치 구분.
- 네트워크 접근통제 솔루션 활용.
3. 기타 보안 취약점 최소화.
- 백신 설치 및 최신화.
- 소프트웨어 버전 업데이트
- 운영체제 보안 업데이트
<교육업계 정보보안 사고사례>
교육업계 개인정보 유출 사례
http://biz.newdaily.co.kr/site/data/html/2019/02/14/2019021400046.html
-스카이에듀(2019.10) : 해킹에 의한 유출
-메가스터디교육(2017.07) : 해킹에 의한 유출
-에듀피아(2016.03) : 해킹에 의한 유출
http://www.hani.co.kr/arti/society/society_general/632504.html
-천재교육(2011.06) : 해킹에 의한 유출
https://www.boannews.com/media/view.asp?idx=42181&page=1&kind=1
- 꿀맛닷컴, 튼튼영어, 재능e아카데미, 푸르넷닷컴, 대교, 생각에꽃피다(2014) : 해킹에 의한 유출
https://www.boannews.com/media/view.asp?idx=80375
-메가스터디교육(2019.06) 해킹에 의한 유출
참고사항
- 민간업체 개인정보 유출에 따른 과태료 부과 사례
(https://www.dailysecu.com/news/articleView.html?idxno=109563)
- 민간업체 개인정보 유출 사례
http://it.chosun.com/site/data/html_dir/2020/04/07/2020040703959.html
'Legal Knowledge > Privacy Policy' 카테고리의 다른 글
| 빅데이터 관련 개인정보보호 이슈에 대하여 (0) | 2021.03.02 |
|---|