Home > 전체기사

개인정보 유출사고 발생했을 때... 기업이 취해야 할 사후대처 5단계

  |  입력 : 2021-01-10 23:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
단 1명의 개인정보가 유출되더라도 반드시 정보주체에 통지해야
유출 원인 파악 및 유관기관 신고 후, 재발방지 대책 마련하도록 법으로 규정


[보안뉴스 이상우 기자] 지난 2014년, 국내 주요 카드사 3곳에서 약 1억 400만 건의 개인정보가 유출되는 사고가 발생했다. 조사 결과 부정사용 방지 시스템 유지보수를 담당하던 협력업체 직원이 파견근무 과정에서 보안이 허술한 틈을 타 자신의 USB에 카드사가 보유한 개인정보를 저장해 유출한 것으로 드러났다. 일부 관계자들은 유출은 됐지만 제3자에게 넘어가지는 않았다고 호언장담했지만, 범인이 해당 정보를 텔레마케팅 업체 등 제3자에게 팔아넘긴 사실까지 밝혀졌다.

[이미지=utoimage]


해당 사고는 △1억 건 이상의 정보가 유출된 초대형 사고라는 점 △이름이나 주민등록번호, 카드 번호, 유효기간 및 CVC 번호 등 민감한 정보가 유출된 점 △대형 금융사가 USB 반입 통제나 암호조치 불이행 등 최소한의 보안조치도 하지 않은 점 △이미 유출 행위는 2012년 10월부터 이뤄졌고, 사고인지 및 발표는 2014년이 돼서야 이뤄진 점 △개인정보 유출 사실을 확인할 수 있다는 공식 사이트에서조차 개인정보보호가 허술했던 점 등 셀 수도 없이 많은 이유에서 온 국민에 큰 충격을 줬고, 금융 시스템에 대한 불신을 키운 사건이었다. 1억 건이라는 숫자는 중복된 개인정보나 망자의 정보를 빼더라도 국민 대다수의 개인정보에 해당되는 수치이며, 특히 이 사건을 계기로 주민등록번호를 변경할 수 있는 제도까지 마련된 바 있다.

개인정보 유출사고는 해킹, 내부자 유출, 시스템 오류, 관리자 실수 등 다양한 이유로 끊이지 않고 발생하고 있다. 특히, 최근에는 이렇게 유출된 개인정보가 다크웹 등 어둠의 경로를 통해 유통되고 있는 실정이며, 해당 정보를 구매한 사이버 공격자는 공격 대상을 물색하거나 표적에 대한 정교한 공격을 위한 용도로 활용하기도 한다.

기업 입장에서는 이러한 유출사고를 사전에 예방하는 것이 최선이지만, 완벽한 보호가 그리 쉽지만은 않다. 사이버공격이 날로 진화하면서 전혀 새로운 방식으로 기업 데이터베이스를 유출할 수 있으며, 한순간 나쁜 마음을 품은 내부 직원이 관리 중인 개인정보를 빼돌리거나 악용할 수도 있다. 이에 기업은 사고 발생 시 추가적인 피해가 생기지 않도록 대응해야 한다.

우선 개인정보 유출사고를 정의하면, ‘개인정보처리자’가 ‘정보주체의 개인정보’에 대한 통제를 상실하거나 ‘권한이 없는 자의 접근’을 허용한 상태를 말한다. 여기서 개인정보처리자는 회원가입을 받은 서비스 기업 등을 의미하며, 정보주체란 가입한 회원을 의미한다. 권한이 없는 자는 사이버 공격자 혹은 개인정보 관리와 관련 없는 내부인 등이다. 유출 형태로는 △서면, USB 등 저장장치, 개인정보가 저장된 노트북 등을 분실 및 도난당한 경우 △개인정보가 포함된 DB 등 개인정보 처리 시스템에 정상적인 권한이 없는 자가 접근한 경우 △개인정보처리자의 고의나 과실로 문서, 파일, 기타 저장장치 등을 권한이 없는 자에게 잘못 전달한 경우 △기타 권한이 없는 자에게 개인정보가 전달된 경우 등이다.

1단계: 유출 정황 발견
개인정보보호법에서는 기업이나 기관이 유출 사고 발생 시 대응계획을 수립하고 시행하도록 규정하고 있다. 개인정보보호위원회가 지난해 12월 발간한 가이드라인에 따르면, 모든 직원은 유출 사실이나 유출이 의심스러운 정황이 발견되면 즉시 IT 부서 등 개인정보보호 담당자(관리자)에게 알려야 한다. 신고를 받은 담당자는 즉시 사실여부와 확인과 함께 유출 규모나 경로 등을 파악해 개인정보보호 책임자에게 전달한다. 책임자는 CEO에게 관련 내용을 수시로 보고하며 유출이 확인되는 즉시 개인정보 유출 대응팀을 구축 및 운영해야 한다. CEO 역시 대응팀을 중심으로 유관부서가 대응할 수 있도록 지원해야 하며, 대응 방향성을 제시하는 등 의사결정을 진행한다.

[이미지=utoimage]


대응팀은 사고 발생에 따른 사고 분석, 사고 처리, 사후 복구 및 재발 방지 등의 조치를 수행한다. 개인정보보호 책임자를 중심으로 내부 조직 및 인력을 분배해 원인 분석 및 대응, 유출 신고 및 피해 당사자(정보주체)에 통지, 피해구재 등의 고객지원처럼 세분화해 대응해야 한다.

2단계: 피해 최소화
유출 원인을 파악했으면 추가적인 피해를 막기 위해 유출 원인을 제거해야 한다. 유출 원인이 해킹일 경우 유출된 시스템을 분리 및 차단하고, 공격자의 접근 관련 로그 등 증거자료를 확보해야 한다. 또한, 서비스 이용자나 개인정보취급자의 ID/PW를 바꾸도록 기술적 조치를 취해야 한다. 가령 암호화되지 않은 PW가 유출될 경우 서비스 이용자가 PW를 변경하지 않으면 로그인할 수 없도록 유도해야 하며, 암호화한 PW가 유출됐을 때도 혹시 모를 피해 예방을 위해 이용자가 비밀번호를 변경하도록 권장해야 한다.

또한, 유출의 직·간접적인 원인을 즉시 제거하고 취약점을 개선하는 등 개선조치를 해야 한다. 내부 인력의 전문성 부족 등으로 긴급 조치 등이 어려운 경우에는 한국인터넷진흥원에 기술지원을 요청할 수도 있다. 지원 내용으로는 개인정보가 유출됐을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제·변경 또는 폐쇄 조치 지원, 네트워크·방화벽 등 대·내외 시스템 보안점검 및 취약점 조치 지원, 향후 수사 등에 필요한 접속기록 등 증거 보존 조치 지원 등이다.

내부자의 고의로 인한 유출일 경우 우선 유출자가 개인정보처리시스템에 접속한 이력과 열람 및 복사 등의 내역을 확인해야 한다. 또한, 개인정보취급자의 시스템 접속 계정이나 권한, 기록 등을 토대로 추가 유출 여부를 확인해야 한다. 해당 접속이 비정상적인 방법으로 이뤄졌을 경우 이러한 우회 경로를 차단해야 하며, 유출에 사용한 노트북이나 USB 메모리, 인쇄물, 이메일 등을 회수하고, 수사기관과 협조해 유출 정보 회수방안을 강구해야 한다.

이메일 오발송으로 인한 유출의 경우 회수 기능을 사용할 수 있다면 즉시 회수하고, 불가능할 경우 잘못 발송한 수신자에게 삭제를 요청해야 한다. 또한, 외부 첨부파일 서버를 이용해 파일을 전송했을 경우 파일서버 운영자에게 관련 파일 삭제를 요청해야 한다.

홈페이지 게시물에 임직원 실수로 개인정보가 노출된 경우에는 해당 내용 및 첨부파일에서 개인정보 부분을 가린 뒤 게시하고, 시스템 오류로 인한 노출 역시 소스코드나 서버 설정 등을 수정해야 한다. 만약 검색엔진을 통해 카페, 홈페이지 등에 등록된 개인정보 관련 파일이 노출된다면 해당 게시물을 직접 삭제하거나 검색 서비스 사업자에게 검색결과 삭제를 요청해야 한다. 추가적으로 게시물 접근 권한을 제한하거나 Robots.txt 등 검색엔진 접근을 배제하는 조치도 필요하다.

3단계: 정보주체에 통지
개인정보보호법 제34조 및 제39조의4, 신용정보법 제39조의4 등에서는 단 ‘한 명’의 개인정보가 유출되더라도 ‘개인정보처리자’, ‘정보통신서비스 제공자’, ‘신용정보회사(상거래기업 및 법인)’ 등이 정보주체에게 최대 5일 이내(정보통신서비스 제공자의 경우 24시간 이내)에 통지하도록 규정하고 있다. 통지 시점은 유출 사실을 인지한 시점부터이며, 피해 확산을 막기 위한 긴급조치가 필요할 경우 조치가 끝난 뒤부터 5일 이내에 알리는 것도 가능하다. 다만, 긴급조치 후 통지하는 경우 반드시 관계기관과 사전 협의가 필요하며, 긴급조치 필요성이 인정되지 않을 경우 현행법 기준으로 3,000만 원 이하의 과태료가 부과될 수 있다.

[표=보안뉴스]


통지 방법은 서면, 이메일, 전화, 문자 메시지 등이며 각 법에서 규정한 유출사고 규모에 따라 홈페이지 및 사업장에도 관련 내용을 게시해야 한다. 특히 정보통신서비스 제공자는 이용자의 연락처를 알 수 없을 경우 홈페이지에 30일 이상 해당 내용을 게시해 알려야 한다. 홈페이지 게시물은 ‘개인정보 유출 안내’, ‘사과문’ 등의 제목을 사용해야 하며, △유출된 개인정보 항목 △유출 시점과 경위 △정보주체가 취할 수 있는 피해 최소화 조치 △개인정보 처리자 대응조치 및 피해 구제 절차 △정보주체가 피해신고 및 상담을 할 수 있는 연락처 등이 포함돼 있어야 한다. 구체적인 내용이 확인되지 않았을 경우 통지 시점에서 확인한 내용을 우선 알리고, 추가로 확인한 내용은 확인 즉시 알려야 한다.

4단계: 유관기관에 신고
유출 사고 발생 이후에는 정보주체에게 통지함과 동시에 유관기관에 신고해야 한다. 개인정보보호법 제34조를 적용받는 개인정보처리자는 1,000명 이상 유출이 발생했을 경우 5일 이내에 개인정보보호위원회 및 한국인터넷진흥원에 유출 신고서 양식을 작성해 신고해야 한다. 제39조의4를 적용받는 정보통신서비스 제공자는 1명 이상 유출이 발생했을 때 24시간 이내에 신고해야 한다.

신용정보법 제39조의4를 적용받는 신용정보회사(상거래기업 및 법인)는 1만 명 이상 유출 시 개인정보보호위원회 및 한국인터넷진흥원에, 신용정보회사(상거래기업 및 법인을 제외한 전체)는 금융위원회에 신고해야 한다.

신고 방법은 홈페이지, 전화(118), 팩스, 이메일, 우편 등이며, 정보주체에 통지하는 것과 마찬가지로 현재까지 확인된 사실을 우선 알리되, 추가 확인되는 내용도 즉시 신고해야 한다.

5단계: 피해 구제 및 재발 방지
통지 및 신고 이후에는 정보주체가 자신의 개인정보 유출 여부를 확인하도록 별도 페이지를 운영해야 한다. 당연한 이야기지만, 해당 페이지를 통한 또 다른 유출이 발생하지 않도록 보호조치를 강화해야 하며, 본인인증 수단으로 주민등록번호를 활용해서는 안 된다.

또한, 문의에 신속하게 대응할 수 있도록 상담 방안 내용을 정리해 운영하고, 현장 대응의 경우 혼란을 최소화하기 위한 방안도 마련해야 한다. 이 밖에도 유출된 정보를 통해 보이스피싱 등 2차 피해가 발생할 수 있다는 사실을 알리고, 개인정보분쟁조정위원회, 손해배상제도 등도 함께 안내해야 한다.

마지막으로 동일한 피해가 발생하지 않도록 취약점을 제거하고, 모의 훈련을 통해 현재 대응체계를 점검 및 보완해야 한다. 이 밖에도 홈페이지 게시물을 통한 개인정보 노출 모니터링, 관리자 페이지 접근 IP 및 계정 제한, 2차 인증을 통한 접근 등 안전조치를 마련해야 한다. 중소기업의 경우 한국인터넷진흥원에서 제공하는 웹 취약점 점검 서비스를 이용하는 것도 방법이다. 자세한 내용은 개인정보보호위원회가 지난해 12월 발간한 ‘개인정보 유출 대응 매뉴얼’에서 확인할 수 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협