개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -

Presentation on theme: "개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -"— Presentation transcript:

1 개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
구태언 변호사 행복마루법률사무소

2 주요 보안사고 및 관련 동향

3 개인정보 및 정보보호 관련 법률체계 전자금융 관련 정통망법 관련 KISA 지침/가이드라인 회계·감리 관련 입법 예정
금감원 모범규준 개인신용정보관리 및 보호 모범규준 금융사고 예방대책 모범규준 신용정보의 이용 및 보호에 관한 법률 전자금융감독규정 시행세칙 전자금융거래법 보안성 심의 기준 전자금융거래 보안 종합대책 전자서명법 등 전자금융 관련 정통망법 관련 정보통신기반보호법 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (“정통망법”) 개인정보의 기술적·관리적 보호조치 기준 위치정보법 KISA 지침/가이드라인 개인정보보호지침 바이오정보보호 가이드라인 i-Pin 가이드라인 RFID 프라이버시 보호 가이드라인 보안서버구축 가이드라인 정보보호안전진단 가이드라인 등 회계·감리 관련 입법 예정 전자금융 관련 정통망법 관련 KISA 지침/가이드라인

4 개인정보 및 정보보호 관련 법률체계 회계·감리 관련 내부회계관리제도 모범규준 주식회사의 외부감사에 관한 법률 개인정보보호법 등
모범규준 적용해설서 검토기준 및 적용지침 주식회사의 외부감사에 관한 법률 개인정보보호법 등 개인정보보호법(9/30 시행) 개인건강정보보호법(안) 개인건강정보보호 및 보안 세부지침(’09.3) 전자금융 관련 정통망법 관련 KISA 지침/가이드라인

5 내부 과실로 인한 개인정보 침해 사례 사건명 사안 개요 결과 1 K은행
3만여 명 고객 개인정보 파일이 실수로 이메일에 첨부되어 약 3,700여 명에 전송 민사 원고 승(20만원) 2 L전자회사 채용사이트 서버가 해킹, 입사지원자들의 각종 신상정보와 개인정보 유출 민사 원고 승 (31명/30만원) 3 L통신회사 가입자정보가 제3사이트로 전송과정에서 프로그램 코딩 미비로 개인정보 유출 민사 1심 원고 승(5만원) 2심 원고 패 4 K통신회사/ S통신회사 고객의 동의 없이 개인정보를 제3자에 제공하거나 취급위탁하여 제공 영업정지 등 행정재재 (방통위) 5 G정유사 직원이 고객정보 약 1,000만 명을 CD에 담아 유출 형사 무혐의 민사 원고 패

6 1 2 3 4 고의에 의한 개인정보 불법 이용 사례 개요 경과 쟁점 교훈
초고속통신사가 고객정보 50만명을 신용카드사에 매도한 사안 신용카드사는 이 정보를 토대로 회원 유치 통신판매 실행 1 개요 경찰 수사후 부사장 입건, 불구속 기소 되어 유죄판결 선고 1만 8993명이 집단소송 제기, 동의 없는 제3자 제공은 1인당 20만원, 동의의 범위를 넘은 제3자 제공은 1인당 10만원 배상판결 선고(총 37억 5770만원) 2 경과 ‘제휴 상품 소개’라는 동의 문구의 적법성 3 쟁점 개인정보의 영업적 이용에 관련 법령 검토 미흡으로 1,000억원대의 우발 채무를 발생시킨 사안 개인정보보호법 시행으로 위반 적발 사례 급증 예상 4 교훈 6 l

7 1 2 3 4 외부 침입에 의한 개인정보 유출 사례 (1) 개요 경과 쟁점 교훈
필리핀 거주 한국인 해커 -> 해외IP 이용 -> 고객정보 175만건 해킹 5억 입금 협박메일 도착 후 -> CCTV를 통한 국내총책 및 인출책 검거 1 개요 경찰청 사이버수사대 : 정통망법에 의한 보안조치 이행여부 점검 금감원 특별 검사(3주간) : 상시적 보안관제 등 시스템취약점 점검 2 경과 수사기관: 기술적, 물리적, 관리적 기준 이행 여부 ->회사의 과실점 검토 금감원: 전자금융감독법규 위반여부 -> 기관 및 임직원 제재 검토 3 쟁점 작성요령 : Bullet Point (핵심 포인트 나열식)으로 작성하되, 내용은 사건의 “개요”, “경과”, “회사 대응시 허점(언론대응 포함)”, “수사/감독기관 지적사항 및 대응”, “파급효과(1줄 요약)”의 순서로 사건당 1페이지 작성 바람 해커가 회사 시스템 사전접근으로 회사 보안시스템의 전체구조 파악 시스템상의 취약점을 파악, 웹페이지 접근 후 자료탈취 위한 프로그램 입력, 탈취 금감원 검사 과정에서, 회사의 전체시스템에 관한 정보보안의 취약점이 드러남 상시적 보안관제에 대한 회사의 미비점 집중 검토 중 사이버수사대의 경우 해커검거 및 회사의 과실여부 검토중 법률적 이슈화 대비 -> 초기 대응 긴요 사건 초기에서부터 다각적, 유기적 대응 중요 (사건 분석, 기관 대응, 고객/언론 대응 등) 4 교훈 7 l 7

8 1 2 3 4 외부 침입에 의한 개인정보 유출 사례 (2) 개요 경과 쟁점 교훈
외부 유지보수 업체 직원 -> 은행 내부망에 연결하여 작업하는 노트북에 악성 툴이 설치되어 -> 해커가 이를 매개로 내부망에 침입 -> 삭제 명령을 입력하여 -> 시스템 파일 파괴 수일 간 ATM, 인터넷뱅킹, 폰뱅킹, 모바일뱅킹 서비스 거래 중단 1 개요 금감원 및 한국은행의 특별검사 서울중앙지검 첨단수사2부의 수사 진행 2 경과 금융기관의 경우: 전자금융감독법규상 위반사항 -> 제재 여부 검토 유지보수업체의 경우: 민형사책임 예상 3 쟁점 4 교훈 기관/고객 대응, 복구 과정 등에 있어 혼선 및 여론 악화, 부실 대응 8 l

9 1 2 3 4 외부 침입에 의한 개인정보 유출 사례 (3) 개요 경과 쟁점 교훈
공개용웹서버 홈페이지 팝업창의 SQL Injection 취약점 이용 -> 시스템 침입 DB서버상의 DB테이블 일부를 다운로드 : 약 12,500개 개인정보 유출 1 개요 금감원 특별검사(2회, 8일) : 보안조직 및 보안규정, 보안관제시스템, 전산시스템 구성의 취약점 점검 경찰청 사이버수사대 : 해커 수사중 2 경과 동일범의 소행으로 추정되는 타 금융기관 동시 검사 : 일괄 제재 예상 3 쟁점 초기단계 자체대응 : 내부 부서별로 각개 대응 검사 마무리단계 : 회사의 예상과 달리 다수의 위규사항 지적 집중적, 전문적인 대응을 통해 적절한 대응논리 제공 필요 4 교훈 9 l

10 개인정보의 처리단계별 대표적 침해 유형 개인정보 수집 개인정보의 이용 및 제공 개인정보의 유지, 관리
1 개인정보 수집시 고지, 명시의무 불이행 사전 동의 없이 개인정보수집 / 이용 / 제공 만14세 미만 아동 개인정보의 부정수집 개인정보 수집 2 고지한 범위를 초과한 목적 외 이용 / 제공 개인정보처리 위탁시 고지의무 불이행 개인정보의 이용 및 제공 3 영업의 양수도 등의 통지의무 불이행 개인정보보호의 기술적 관리적 조치 미비 개인정보관리자의 부적격 혹은 미지정 개인정보의 유지, 관리 4 고지한 범위를 초과한 목적 외 이용 / 제공 개인정보처리 위탁시 고지의무 불이행 개인정보의 동의철회, 파기/개인 정보의 유출, 도용, 침해 대응처리

11 개인정보 수집 단계의 침해 유형 No 일시 수집 단계 침해 유형 분쟁 조정 결정례 1 2004 2 2003 3
중고휴대폰 판매 웹사이트를 개설하면서 휴대전화번호 등 개인정보가 포함되어 있는 다른 웹사이트의 게시글을 무단으로 수집하여 자신의 게시판에 게시함 동의 없는 개인정보 수집행위에 해당함 위자료로 5만원 지급 결정 2 2003 통신사업자가 일반전화서비스 가입고객의 정보를 자사의 초고속 인터넷 서비스 TM에 사용하겠다는 목적을 개인정보 수집시(일반전화 서비스 가입시) 고지하지 않음 개인정보 수집시 이용 목적 불고지 위자료 20만원을 지급 결정 3 온라인 게임사업자가 법정대리인의 동의 없이 12세 아동의 개인정보를 수집함 사안에서 아동은 게임사이트에 가입하면서 부모의 동의가 있는 것처럼 부모의 휴대폰으로 이용요금을 결제하였음 부모는 휴대폰 결제된 이용요금의 반환을 요구함 14세 미만자의 법정대리인 동의 없는 개인정보 수집 미성년자의 적극적사술과 부모의 관리 감독 소홀을 이유로 50% 과실상계함

12 개인정보의 이용 단계의 침해 유형 No 일시 이용 단계 침해 유형 분쟁 조정 결정례 1 2006 2 2005 3 2002
이동통신회사가 증권조회서비스를 제공하는 부가서비스업체(CP업체)에게 당해 업체에 대한 민원해결을 위하여 고객의 정보를 제공함 가입 당시 고객에게 제휴관계/위탁처리를 위하여 개인정보를 제공할 수 있다는 포괄적 고지는 있었음 적법한 고지·동의 없는 제3자 제공임 위자료 100만원 지급 결정 2 2005 인터넷쇼핑몰업체가 고객들에게 이메일로 사전 동의를 구한 후 리서치 회사에 의뢰하여 설문조사 설문 조사의 안내 및 동의를 구하는 전자우편을 받지 못한 회원임에도 개인정보가 제공됨 동의 없는 제3자 제공에 해당함 위자료로 30만원 지급 결정 3 2002 인터넷쇼핑몰운영자가 자신이 배포한 S/W로 인해 컴퓨터에 이상이 생긴 고객의 항의를 해결 하고자 해당 S/W 제작업체에 고객정보를 제공함 제작업체가 고객에게 원인설명·치료·사과 등의 조치를 취하려고 연락을 취함 위자료 20만원 지급 결정

13 개인정보의 이용 단계의 침해 유형 No 일시 이용 단계 침해 유형 분쟁 조정 결정례 1 2004 2 2006
초고속인터넷 사업자가 PC정비 및 보안과 관련된 부가서비스 위탁사실을 고지하지 아니하고 고객의 개인정보를 부가서비스업체에 제공함 사업자의 웹사이트에도 “제휴업체가 부가 서비스를 제공한다”는 내용만 명시되어 있음 제공업체, 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 개인정보 제공자 (통신사업자)의 사무 처리를 위한 경우로 제3자제공이 아닌 개인정보처리위탁임 부가서비스를 위탁하여 처리하고자 하는 경우 최소한 수탁자, 수탁관계 등을 이용자에게 고지하여야 함 2 2006 케이블방송사업자가 인터넷 통신서비스를 제공하는 자회사에 고객정보를 제공, 자회사가 TM 실시 제공업체, 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음(포괄적 문구로 고지) 개인정보취급위탁이 아닌 제3자 제공에 해당함 온라인 보험판매 대행업자가 생명보험사에 고객 정보를 제공, 보험사가 TM 실시

14 개인정보의 업무적 침해와 해킹에 의한 침해 자회사 분사 후 고객동의 없이 제공 해킹에 의한 경우 모회사 자회사
통신회사 자회사 인터넷 사이트 운영회사 통신서비스개통 (설치기사) 고객에게 사후적으로 제3자 정보제공 동의 받음 자회사가 제공받은 정보를 다른 목적으로 영업활동에 활용한다면 더 큰 문제 고객에 사전 고지/동의 없이 고객 제3자 제공 통신서비스 가입청약 시스템 R DB DB 보안 서버보안 접근제어 OS보안 Application보안 내부PC 외부PC 네트워크보안 PC보안 바이러스보안 파일암호화 서버 네트워크 방화벽 IDS VPN Attack Path R

15 해킹에 의한 개인정보 침해 유형 2008년 2월 중국 해커에 의해 1,080만 명의 고객정보가 유출
현재까지 약 14만 1천명이 청구금액 100~200만원의 집단소송 제기 (총 청구금액 약 1,500억원) 쇼핑몰 해킹 사건 정유사 고객정보 해킹 사건 2008년 10월 개인정보 관리 협력사 직원에 의해 약 1,100만명의 고객정보가 유출되었다가 검거 현재까지 약 4만 1,000명이 청구금액 100만원의 집단소송 제기 (총 청구금액 약 400억원) 2007~2008년에 걸쳐 미국인 해커를 고용한 해커들에 의해 모아저축은행을 포함 수백 곳의 기관이 해킹 당하였음. 자세한 피해내역은 안 알려짐 모아저축은행 등 금융거래정보 해킹 사건 * 주요 일간지 및 신문 보도자료 발췌

16 개인정보 해킹 피해 업체 입건 『 경찰에 따르면 친구 사이인 최 씨 등은 2008년11월부터 최근까지 중국 해커로부터 2차례에 걸쳐 100만원을 지급하고 국내 25개 사이트 회원의 이름, ID, 비밀번호, 주민등록번호 등이 포함된 개인정보 2천여만건을 구입해 온라인 메신저를 통해 알게 된 사람들에게 1억5천만원을 받고 판매한 혐의를 받고 있다. 』 피해 업체 2곳도 정통망법위반죄로 입건. 연합뉴스

17 개인정보 해킹 피해 업체 입건 『부산경찰청 이재홍 사이버수사대장은 "그동안의 개인정보 유출 사건과는 달리 20여개 업체를 모두 입건해 책임을 물었다"며 "개인정보 유출이 심각한 사회문제를 일으키는 만큼 이번 사건을 계기로 업체들의 취약한 정보관리의 심각성을 인식하는 계기가 됐으면 한다"고 말했다. 경찰은 이들이 유통시킨 개인정보가 전화금융사기나 메신저 피싱 등에 사용됐을 가능성도 높은 것으로 보고관계기관과 함께 추가조사를 진행하고 있다. 』 노컷뉴스

18 개인정보 암호화 관련 법령

19 정보통신망법상 암호화 규정 개인정보의 기술적·관리적 보호조치 기준 (방통위 고시 2009. 8. 7. )
제6조 (개인정보의 암호화) 비밀번호 및 바이오정보는 복호화되지 않도록 일방향 암호화 저장 주민등록번호, 계좌 및 신용카드 번호, 계좌번호는 안전한 암호 알고리듬으로 암호화하여 저장 정보통신망을 통해 이용자의 인증정보 송수신시 안전한 보안서버 구축 등의 조치를 통해 이를 암호화 하여 전송 Web Server에 SSL통신 또는 암호화 응용프로그램 탑재 정보통신서비스 제공자 등은 이용자의 개인정보를 개인용컴퓨터(PC)에 저장할 때 이를 암호화하여 저장 (2010년 1월 29일 시행)

20 KISA의 고시 해설서상 권장 해쉬함수

21 KISA의 고시 해설서상 대칭키 암호 권고

22 개인정보보호법상 암호 관련 규정 법 제24조 (고유식별정보의 처리 제한) 고유식별정보(시행령 19조)
주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실, 도난, 유출, 변조 또는 훼손되지 아니하도록 암호화 조치를 하여야 한다(법 24조 3항, 시행령 21조)(시행 ) 암호화 조치의 내용(시행령 30조) 4호 개인정보를 안전하게 저장, 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

23 개인정보보호법상 암호 관련 규정 법 제29조 (안전조치의무)
개인정보처리자는 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 아니하도록 내부관리계획 수립, 접속기록 보관 등 기술적, 관리적 및 물리적 조치를 하여야 한다(시행 ) 개인정보의 안전성 확보조치(시행령 30조) 개인정보의 안전한 처리를 위한 내부 관리계획의 수립, 시행 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 개인정보를 안전하게 저장, 전송할 수 있는 암호화기술의 적용 또는 이에 상응하는 조치 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조, 변조 방지를 위한 조치 개인정보에 대한 보안프로그램의 설치 및 갱신 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

24 침해사고 유형별 기업의 책임

25 업무상 개인정보 침해와 기업의 책임 업무처리 과정에서 개인정보 침해 기업의 책임 본사 직원에 의한 침해 수탁업체에 의한 침해
수집, 이용, 제공, 파기, 보존 단계별 관련 법규 위반시 수탁업체에 의한 침해 본사를 위해 개인정보를 처리하는 과정에서 관련 법규 위반시 민사 책임 사용자 책임 – 본사 직원 및 수탁업체 직원 포함(정통망법 25조 5항) 입증책임의 전환(정통망법 32조) – 기업이 고의/과실이 없음을 입증해야 제공받은 제3자에 의한 침해 - 본사가 적정하게 개인정보를 제공하였는지가 책임 발생의 관건 형사 책임 고의에 의한 행위자는 행위책임으로서 본인이 형사처벌을 받게 됨 법률의 부지는 정당한 변명이 되지 않음 입건 대상자는 기업의 개인정보 담당 임직원(개인정보관리책임자로 지정된 사람에 국한되지 않음) 기술적/관리적 보호조치 위반에 의한 침해로 평가될 경우 “부작위”가 처벌되는 결과 기업의 책임

26 해킹에 의한 개인정보 침해 내부자에 의한 해킹 기업의 책임 개인정보취급자에 의한 해킹 개인정보취급자가 아닌 자에 의한 해킹
본사 직원 및 수탁업체 직원 여부 불문 기업은 사용자 책임 및 형사책임 발생 민사책임에 있어서 사용자 책임의 전환으로 기업이 승소하기 곤란 형사책임에 있어서 기술적/관리적 보호조치 위반으로 평가받아 개인정보보호 담당 임직원이 형사처벌 가능성이 높음 개인정보취급자가 아닌 자에 의한 해킹 평소 개인정보에 대한 접근권한이 없는 자에 의한 침해 민사책임에 있어서 사용자 책임이 인정될 가능성이 아주 높음 형사책임에 있어서 기술적/관리적 보호조치 위반으로 평가받을 가능성이 아주 높음 내부자에 의한 해킹 외부자에 의한 해킹 기업의 기술적/관리적 보호조치 위반이 있었는지 여부가 책임 성립의 관건 공동불법행위에 따른 민사책임 및 기술적/관리적 보호조치 위반으로 인한 형사책임 성립 가능 기업의 책임

27 개인정보관리책임자(CPO)의 형사 책임 업무결정에 관여한 경우 업무결정에 관여하지 않은 경우 개인정보관리 책임자
해당 위반행위를 알고 결정했다고 평가되어 형사책임을 질 소지가 높음 개인정보 유출시 암호화 조치 미이행된 경우 형사책임 업무결정에 관여한 경우 개인정보관리 책임자 업무결정에 관여하지 않은 경우 원칙적으로는 형사책임을 지지 않음 사실상 해당 업무처리에 대해 잘 알고 있었거나, 해당 업무처리를 관리감독할 의무가 있다고 평가되는 경우에는 형사책임 발생 가능 평소 관리감독에 철저했는지 여부 관리감독의 핵심은 정책수립, 교육 및 점검 개인정보 관련 업무에 대한 위임전결규정 수립, 사전 검토 및 사후 검토에 대한 원칙 수립, 주기적인 점검 및 관련 사항에 대한 교육 실시 필요 이러한 관리감독을 철저히 하였다면 형사책임이 발생하지 않을 가능성 높음

28 1 2 3 개인정보 침해와 법적 책임 요약 < 형사책임 > < 민사책임 >
*민, 형사 절차 동시 진행의 가능성 < 형사책임 > 암호화 의무 등 보호조치 고시 위반 등 일정한 경우 형사책임의 발생 양벌규정으로 인한 회사의 책임 발생 및 벌금의 부과 1 < 민사책임 > 직원(수탁회사 포함)의 개인정보 침해시 회사의 사용자 책임 발생 집단 소송)에 따른 거액의 손해배상책임 부담 2 한국소비자원의 집단분쟁 조정절차 개시, 개인정보분쟁조정위원회의 조정절차 개시 등 3

29 기업의 전략적 대응방안

30 기본적 대응 전략 민사상/형사상/행정상 책임 경감 또는 면제가 목표 개인정보 처리 시스템 보안 강화 개인정보 취급자 등 관련
개인정보관리 책임자(CPO)의 역할과 책임 강화 개인정보 처리 시스템 보안 강화 민사상/형사상/행정상 책임 경감 또는 면제가 목표 개인정보 취급자 등 관련 임직원에 대한 교육과 점검 협력업체, 제휴 업체에 대한 관리/감독

31 1 2 3 구체적 대응 전략 개인정보관리책임자 및 전담조직 강화 계약/지침/정책 등 규정 정비
개인정보와 관련된 업무 결정에 CPO의 참여 제도화 위임전결 규정, 의사결정에 협조 및 참조 사전 규정 주기적 교육 및 점검의 시행 여부 확인 계약/지침/정책 등 규정 정비 개인정보 보호정책 등 법령상 요구 지침 마련 수탁업체/제휴업체와 계약서에 관리, 감독 근거 마련 홈페이지상 ‘개인정보취급방침’, ‘가입신청서’ 상 개인정보 수집, 이용, 제공 동의에 필요한 항목 주기 점검 개인정보 관련 일선 업무 처리의 법적합성 진단 관련 법규정상 요구되는 항목의 일상적 점검 업무처리 과정상 부지불식 중에 존재하는 불법적 실무 관행 진단 및 시정 부적절한 업무처리시 적절한 제재에 대한 근거 규정 도입 1

32 4 5 구체적 대응 전략 개인정보 처리 시스템의 보안 강화 교육과 협력업체 점검 강화
접근권한의 적절한 설정, 접근기록의 점검 및 백업 등 기술적/관리적 보호조치 관련 고시상 요구사항 준수 접근통제시스템, 비밀번호/금융정보 암호화 등 보안의 강화 적절한 패치 도입 등 시스템 보안의 최신 상태 유지 교육과 협력업체 점검 강화 주기적 교육과 점검 제도화 교육 및 점검 업무를 전담할 조직 설치 교육 및 점검 이행 여부에 대해 신상필벌 도입 개인정보보호에 있어 강조해도 지나치지 않은 요소!!!

33 전사적 대응태세 구축 부정 및 준법 위험 외부 IT 전문기관에 의한 진단 접근통제 등 보안시스템 가동 법무부서에 의한 자문
법규 및 감독규정 준수와 임직원의 준법위험관리 정보보호 정책/절차/지침이행 여부 및 통제활동 진단 외부 IT 전문기관에 의한 진단 접근통제 등 보안시스템 가동 법무부서에 의한 자문 개인정보보호 전담 조직 운영 업무감사,회계감사, 전산감사,부정감사, 상시/특명 감사 등 IT 감사 외부 법률전문가 진단 법무부서 개인정보관리책임자 부정 및 준법 위험

34 전사적 대응 태세 확립 효과 개인정보보호는 보호기술과 법률해석 문제가 융합된 영역 업무처리 적법성 + 최상의 보안강화
법인의 책임 최소화 집단소송 대비 형사상 책임 최소화 임직원 교육/ 예방 / 체계정비

35 감사합니다. Q&A