개인정보보호법 안전성 확보조치 방안 2015. 5. 19. 오용석 (한국인터넷진흥원).

Presentation on theme: "개인정보보호법 안전성 확보조치 방안 2015. 5. 19. 오용석 (한국인터넷진흥원)."— Presentation transcript:

1 개인정보보호법 안전성 확보조치 방안 오용석 (한국인터넷진흥원)

2 목차 I 주요 개인정보 유출 사례 및 시사점 1 II 개인정보의 안전성 확보조치 사항 3 III 주요 상담사례 3

3 주요 개인정보 유출 사례 및 시사점 중국측 해커들이 옥션 직원들에게 해킹 프로그램(키로거)을 내장한 메일 100여개 발송
옥션 개인정보 유출 (2008년) 진행경과 (유출 정보․규모) 이름, 주민등록번호, 주소, 전화번호, 아이디 등 1,863만명의 개인정보 유출 (‘08.1) <대법원 확정판결> o 손해배상 책임 없음 (’15.2) - 필요한 범위내에서 기술적 보안조치 취함 - 비정상적 탐지가 기술적으로 어려움 - 주의의무 위반했다고 보기 중국측 해커들이 옥션 직원들에게 해킹 프로그램(키로거)을 내장한 메일 100여개 발송 옥션 직원들이 메일 확인한 순간 직원의 ID와 패스워드가 해커들에게 넘어감 중국측 해커들, 옥션 직원들의 사내 ID(관리자 ID)로 옥션 서버에 접속 옥션의 고객 개인 정보(이름, 주민번호, ID, 주소, 이메일, 전화번호 등) 유출 * 서버에 백도어 업로드 및 설치

4 주요 개인정보 유출 사례 및 시사점 SK컴즈 개인정보 유출 (2011년) 진행경과 (손해배상 소송)
<법원(중앙지법)> o 손해배상 책임 없음 (’ ) - 공개용 프로그램 사용과 손해 발생 사이에 인과관계 없음 - 주의의무 위반 아님 <법원(서부지법)> o 손해배상 책임 있음 (’ ) - 대량 개인정보 유출 탐지 실패 - 관리자가 logout하지 않고 Idle Time 또는 세션 종료타임 설정 안함 <법원(서울고법)> O 손해배상 책임 없음 (’ ) - 법적 의무 조치 다함

5 주요 개인정보 유출 사례 및 시사점 1년간 수 차례 해킹, 통신사 총 가입고객 1,600만명 중 981만명(1,170만건)의
KT 개인정보 유출 (2014년) 2014년 2월경 전문해커를 고용하여 해킹프로그램을 자체 제작, 홈페이지를 통해 1년간 수 차례 해킹, 통신사 총 가입고객 1,600만명 중 981만명(1,170만건)의 고객정보를 유출하여 텔레마케팅으로 활용 진행경과 <경찰> 기소의견으로 검찰에 송치 (’14.5) <다음, 네이버 카페> 집단 소송 카페 약 20여개 <경실련> 위약금 없는 KT 서비스 해지를 위한 집단분쟁조정 신청(‘14.7) <검찰> KT임원, 부장급 간부, KT법인 – 무혐의 처분 (‘ ) <법원(중앙지법)> 주의의무 소홀로 각 10만원씩 손해배상 책임 있음( ,717명, 명) (하루 약 20~30만건)

6 주요 개인정보 유출 사례 및 시사점 인증절차를 우회하여 공공 i-PIN 75만건을 부정발급 받음
진행경과 <행자부> 부정발급 공공아이핀 삭제(3월) <게임사이트> 부정발급된 공공아이핀이 사용된 게임사이트에서 신규회원 탈퇴, 사용중지 등 종합대책 발표(3.25) - 부정사용방지시스템(FDS) 도입 - 2차 인증 도입 - 시스템 보안강화 및 모니터링 - 공공기관 웹사이트에서 회원가입 삭제 - 공공아이핀 관리ㆍ운영주체 이관 검토 등

7 1. 안전성 확보조치 준수가 기업/기관의 Legal Risk로 부각
주요 개인정보 유출 사례 및 시사점 시사점 1. 안전성 확보조치 준수가 기업/기관의 Legal Risk로 부각 해커에 의한 개인정보 유출 사고 발생시, 회사의 고의나 중과실이 입증되지 않을 경우 회사측에 법적 책임이 인정되지 않았음 ⇒ 손해배상 인정으로 기업 존재기반을 흔드는 Legal Risk로 전면 부각 (예: SK컴즈 3,500만명 최대 배상액 약7조원, 공공 아이핀 관리ㆍ운영주체 이관 가능성 등) 2. 기관/기업의 개인정보보호 주의의무 범위 구체화 판결 이전까지 기관/기업의 개인정보 보호 조치 수준이 불명확하였으나, 판결을 통해 주의의무가 법적 의무 조치 요구사항 범위 내로 수렴 중 ⇒ 법적 요구 조치 준수시, 민형사상의 면책 가능성이 높아짐 3. 보호조치 기준 준수에도 불구하고 지속적 개인정보 유출사고 발생 고시 등에서 정한 보호조치 기준은 개인정보 유출 방지를 위해 구체적 항목과 방법을 요구하고 있으며, 최소한의 요구사항에 불과하여 지속적인 유출사고가 발생한다는 주장 대두 ⇒ 보유 개인정보의 중요도에 따라 각 기관/기업이 자율적으로 강화된 보호조치를 취하도록 유도할 필요성이 높아짐

8 개인정보의 안전성 확보조치 사항 - 법률근거 고시 개인정보보호법
제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다. 1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치 5. 개인정보에 대한 보안프로그램의 설치 및 갱신 6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치 ③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 행정자치부장관이 정하여 고시한다. 고시 고시 개인정보의 안전성 확보조치 기준(행정자치부 고시 제2014-7호)

9 개인정보의 안전성 확보조치 기준 (행정자치부 고시 제2014-7호)
개인정보의 안전성 확보조치 사항 - 기준 개인정보의 안전성 확보조치 기준 (행정자치부 고시 제2014-7호) 구분 주요내용 (제3조) 내부관리계획 수립•시행 보호책임자 지정 및 역할과 책임, 취급자 교육 등 (제4조) 접근권한 관리 업무수행에 필요한 최소한의 범위로 차등 부여, 취급자별 계정 발급 접근권한 부여기록은 최소 3년간 보관 (제5조) 접근통제 방화벽 등 접근통제시스템 설치·운영 고유식별정보 수집 홈페이지 취약점 점검 1회/년 이상, 모바일 기기 보호조치, 외부에서 접속시 VPN 등 안전한 접속수단 사용 (제6조) 암호화 암호화 대상 : 고유식별정보, 비밀번호, 바이오정보 암호화 기준 (전송시) 정보통신망 송수신 등의 경우 암호화 (저장시) ① 비밀번호 및 바이오정보 암호화 (비밀번호 일방향 암호화) ② 고유식별정보는 인터넷구간, DMZ구간 저장시 암호화하고 내부망 저장시 위험도 분석에 따라 암호화 적용여부, 적용범위 결정 (제7조) 접속기록 보관 및 점검 최소 6개월 이상 보관, 반기별 1회 이상 점검 (제8조) 악성프로그램 등 방지 백신 등 보안프로그램 설치, 자동 또는 일1회 이상 최신 업데이트 (제9조) 물리적 접근방지 물리적 보관장소 출입통제, 보조저장매체 반ㆍ출입 통제 절차 등 (제10조) 개인정보의 파기 개인정보 완전파기 및 부분파기 16.1.1부터 주민번호는 무조건 암호화 하도록 변경됨 미조치에 따른 유출시 보호조치 미비 2년 이하 징역 또는 1천만원 이하 벌금 * 주민번호 유출시 5억원 이하 과징금(‘14.8.7~) 벌칙조항 3천만원 과태료

10 개인정보의 안전성 확보조치 사항 – 세부조치 방법
안전성 확보조치 세부조치 방법 개인정보의 안전성 확보조치 기준(고시) 개인정보의 안전성 확보조치 기준(고시) 해설서 사업자, 공공기관 등이 개인정보 보호를 위해 준수해야 하는 기술적•관리적 의무조치 기준 (개인정보보호법의 하위 규정, ' 행자부가 개정하여 고시) 고시의 각 조항별 구체적 설명 및 적용 방법을 제시하여 쟁점에 대한 해석상의 혼선 방지 및 현업에서 용이한 적용을 유도 (실무적 조치 기준으로 작용) 고시 해설서의 구조 사업자 환경에 따라 자율적 조치가 가능하도록 선택방안 부여(필수, 선택) 각 항목별 선택 가능한 다양한 조치방법의 사례(예시) 제공

11 개인정보의 안전성 확보조치 사항 – 내부관리계획 수립ㆍ시행
□ 기관내 개인정보 관리에 대한 기본 계획 -‘내부관리계획’수립ㆍ시행 내부관리계획에 포함할 사항(기준) 조치 방안 (예시) 1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항 4. 개인정보취급자에 대한 교육에 관한 사항 5. 수탁자 관리 및 감독에 관한 사항 6.그 밖에 개인정보 보호에 필요한 사항 전사적, 종합적으로 수립 ※ 조치에 필요한 예산 확보 병행 최고 경영층의 결재 보호책임자 인사명령 모든 임직원, 파견근로자, 시간제 근로자가 준수할 수 있도록 공표, 교육 업무위탁에도 반영되도록 조치 준수여부의 주기적 점검 <신규>

12 [참고] 내부관리계획 예시 CPO

13 [참고] 위탁시 준수사항 위탁사항 공개(예시) 위탁-안전한 처리감독 점검 샘플 위탁계약서(예시)

14 개인정보의 안전성 확보조치 사항 – 접근권한의 관리
접근권한 관리 기준 조치 방안 (예시) 개인정보처리시스템 접근권한을 업무수행에 필요한 최소한 범위로 업무담당자별 차등부여 예) 개인정보 보호책임자에게는 전체권한(읽기/쓰기/변경)을 부여하고 개인정보취급자에게는 일부권한(읽기)을 부여 개인정보취급자 변경 시 지체 없이 개인정보처리 시스템의 접근권한 변경 또는 말소 권한부여, 변경, 말소 내역 기록 및 최소 3년간 보관 개인정보취급자별 사용자 계정 발급 및 공유금지 개인정보취급자, 정보주체가 안전한 비밀번호를 설정 할 수 있도록 비밀번호 작성 규칙 수립 및 적용 개인정보 보호책임자 내부관리계획에 따라 접근권한 설정ㆍ운영 여부 주기적 확인, 기록 3년 보관 개인정보취급자 접근권한에 따른 업무 수행, 계정 공유금지 비밀번호 작성 규칙에 따라 비밀번호 설정 개인정보처리시스템(DBMS) 비밀번호 관리기준 적용 <변경> 개인정보취급자별 한 개의 사용자 계정 → 개인정보취급자별 사용자 계정

15 [참고] 비밀번호 사용 실태 전자신문 (‘123456’ 어도비 해킹 피해 비밀번호 1위…190여만명 사용)

16 개인정보의 안전성 확보조치 사항 – 접근통제 ☞ 조치방법 참고 접근통제 조치 기준 조치 방안 (예시)
접근통제(IP주소 등) 및 불법유출시도 탐지 기능 포함 시스템 설치 및 운영 ☞ Firewall, IPS, 웹 방화벽 등 사용 외부 접속시 가상사설망(VPN) 또는 전용선 등 안전한 접속수단 이용 홈페이지에서 주민번호 사용 본인확인시 추가적인 정보 확인 고유식별정보 처리 홈페이지 연 1회 이상 취약점 점검 홈페이지 유노출 방지, P2P 사용 및 공유 설정 금지, 공개된 무선망 이용시 보호조치 모바일 기기에 비밀번호 설정 등 보호조치 등 ☞ 조치방법 참고 - 사이버 교육 동영상 - 개인정보 안전성 확보조치, 업무용 PC에서 개인정보 보호조치 설정방법 개인정보 보호책임자 내부관리계획에 따라 접근통제 설정ㆍ운영 여부 주기적 확인 - 보안장비, 보안설정의 접근통제 적절성 검사 - 서비스 개시 전후 홈페이지 취약점 점검〮조치 - 취급자의 PC P2P〮공유설정 정기 검사 및 조치 개인정보취급자 인가되지 않은 P2P 사용 및 공유설정 금지 PC 방화벽 설정ㆍ운영 모바일 기기에 비밀번호 설정 등 <신규> <신규> <신규> <신규> 개인정보처리시스템(DBMS) DBMS 접속시 VPN, 전용선 접속 설정

17 개인정보의 안전성 확보조치 사항 – 암호화 암호화 기준 조치 방안 (예시) 암호화 대상 개인정보 개인정보 보호책임자
- 고유식별정보 주민번호, 여권번호, 운전면허번호, 외국인등록번호 - 비밀번호 - 바이오정보 (식별 및 인증 용도) 암호화 방법 개인정보 보호책임자 내부관리계획에 따라 암호화 여부 주기적 확인 - 전사적 암호화 대상 개인정보 파일 목록 관리 - DBMS 등에서 암호화 대상 개인정보 저장시 즉시 암호화 또는 영향평가/위험도 분석에 따른 해당 개인정보파일의 개인정보 암호화 - 홈페이지, 외부와 개인정보 교환시 전송 암호화 적용여부 점검 및 조치 전송시 비밀번호, 바이오정보, 고유식별정보 암호화 저장시 비밀번호 일방향 암호화 바이오정보 고유식별정보 인터넷, DMZ구간 내부망 영향평가, 위험도 분석 결과에 따른 암호화 업무용 PC 모바일 기기 암호화(상용 암호화 소프트웨어, 안전한 암호화 알고리즘) 개인정보취급자, 업무용 PC 불필요한 개인정보 보유 금지 암호화 대상 개인정보 암호화 저장 (암호화 도구/솔루션, OS/응용프로그램 등 활용) 개인정보처리시스템(DBMS) 암호화 조치 주민등록번호 제외됨(‘16.1.1)

18 [참고] 홈페이지 전송구간 암호화 확인 방법 언론보도 사례 전송구간 암호화 확인 방법 예시
해당 홈페이지에 ID / PW를 입력 패킷분석도구를 활용하여 입력한 ID를 검색 - tcp contains KISATEST : 패킷중 입력한 ID(KISATEST) 정보가 포함된 패킷만을 출력하는 시스템 명령어 홈페이지에 로그인시 입력하는 비밀번호 등 암호화 되지 않고 서버에 전송됨 (14.2./YTN) ▶ 안전성 확보조치 기준 제6조제2항 - 정보통신망, 보조저장매체를 통한 송/수신시 비밀번호, 바이오정보, 고유식별정보는 암호화 조치 필요 전송구간 암호화 확인 방법 예시 패킷을 암호화 하였다면 아래와 같이 ID (KISATEST)에 대한 평문정보가 나타나지 않음 반면, 암호화 미조치된 경우, 정보가 나타남

19 개인정보의 안전성 확보조치 사항 – 접속기록의 보관 및 점검
접속기록 관련 기준 조치 방안 (예시) 개인정보취급자 접속 기록 6개월 이상 보관·관리 접속기록을 반기별 1회 이상 점검 접속기록 위·변조, 도난, 분실되지 않도록 안전하게 보관 개인정보 보호책임자 내부관리계획에 따라 접속기록 보관 및 위변조 여부 주기적 확인 - 각 DBMS별 접속기록 보관 및 백업 여부 확인 - 접속기록이 위〮변조 되지 않도록 관리체계 구성 및 운영 - 접속기록의 6개월 이상 보관 및 점검 필수기록 항목 설명 ID 개인정보취급자 식별정보 날짜 및 시간 접속 일시 접속자 IP 주소 접속지 정보 수행업무 열람,수정,삭제,인쇄,입력 등 개인정보처리시스템(DBMS) <신규> 접속기록을 남기도록 시스템 설정 예) DVD-ROM 등 덮어쓰기 방지 매체에 보관 예) HDD 보관 및 Hash값 저장ㆍ관리

20 개인정보의 안전성 확보조치 사항 – 악성프로그램 등 방지
보안프로그램 관련 기준 조치 방안 (예시) 백신 소프트웨어 등의 보안 프로그램 설치·운영  자동 업데이트 기능 사용 또는 일 1회 이상 업데이트를 실시하여 최신상태 유지 보안 업데이트 공지가 있는 경우, 즉시 업데이트 실시 개인정보 보호책임자 내부관리계획에 따라 보안프로그램 설치〮운영 여부 주기적 확인 - 보안프로그램 관리서버 등 운영 고려 개인정보취급자, 업무용 PC 백신 설치운영 및 자동 업데이트 설정 응용프로그램, OS의 적시 보안패치 실시 <변경> 일 1회 업데이트 → 최신상태 유지

21 개인정보의 안전성 확보조치 사항 – 물리적 접근 방지
물리적 접근방지 기준 조치 방안 (예시) 별도의 물리적 보관장소 (전산실, 자료보관실)에 대한 출입통제 절차 수립 및 운영 개인정보 문서, 보조저장매체 등은 잠금장치가 있는 안전한 장소 보관 보조저장매체의 반출/입 통제를 위한 보안대책 마련 개인정보 보호책임자 내부관리계획에 따라 물리적 접근방지 조치 설정〮운영 여부 주기적 확인 - 전산실, 자료보관실 점검 - 자동화된 관리체계 구축 운영 고려 - 각 부서별 문서, 보조저장매체 관리현황 점검 개인정보취급자 개인정보 문서, 보조저장매치 무단방치 금지 - 출퇴근, 출장 등의 경우 안전한 장소에 보관 - 업무시간 종료 후, 잠금장치에 보관 <신규>

22 개인정보의 안전성 확보조치 사항 – 개인정보의 파기
<신규> 개인정보의 파기기준 (전체 파기) 완전파괴(소각, 파쇄 등)  전용 소자장비를 이용하여 삭제  데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 전체 파기 [소각] [파쇄] 전체 파기 <신규> [덮어쓰기, 완전포맷, 암호화 등] [디가우저] 개인정보의 파기기준 (일부 파기) 전자적 파일 형태 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 기록물, 인쇄물, 서면 등 : 해당 부분을 마스킹, 천공 등으로 삭제 일부 파기 <신규> [천공] <신규> 일부 파기 [삭제 후, 관리 및 감독]

23 행정처분 및 상담 사례 – FAQ

24 행정처분 및 상담 사례 – FAQ

25 행정처분 및 상담 사례 – FAQ

26