지금 H 캐피털 해킹으로 금융권으로 일파 만파 퍼지고 있는 가운데 필자가 직접 피해를 입게 되었습니다. 이에 따른 여러가지 문제점을 짚어 보고 그에 따른 개인정보 정보 주체로서 권리를 피력해 보겠습니다. 늘 이야기 했던 실무관점과 개인의 관점에서 개인의 관점입니다. -편집자 주


1. 개요

지금 10년이 넘게 타고 다니는 H 차를 아이들은 똥차라 부르지만 그래도 폐차 할때까지 타야 한다고 하면서 타고 있습니다. 무엇보다 사회생활 중에 제 돈으로 직접 신차를 샀기 때문이죠.

거슬러 올라가면 99년도에 신차를 구입하였는데. 일부는 현금으로 일부는 H캐피털을 이용하여 조금은 부담을 덜려고 캐피털사를 이용했더랬습니다. 그 이후 1년정도 매월 불입했고, 추후 한꺼번에 모두 납입하여 처리했던 기억이 납니다. 36개월 할부지만 그전에 모두 납입했다는 이야기입니다.


2.  H캐피털사 개인정보 유출

지난 주말에 H 캐필터사에서 개인정보가 유출되었다는 보도가 일부 언론을 통하여 나오고 있었고, 흠짓 나도 10여년 전에 사용한 적이 있는데 라고 생각하면서 ..그냥 보고만 있었습니다. 왜냐하면 그 시기가 벌써 10년전에 일이었기 때문입니다.
하지만 언론에서 3.4 DDoS 보다 더 집중 조명이 되면서, 무엇인가 잘못이 많긴 많은 모양이다라는 생각에 오늘 아침에 모디터링 하던 가운데 아이디가 주민번호로 생성이 되었다는 제보를 받게 되었습니다. 필자도 거래했던 기억이 있기에 바로 확인 작업에 들어갔습니다.


3. H캐피털사 , 10년전 db보관과 아이디를 주민번호로 생성

필자가 가장 의문시 되었던것이 아이디를 주민번호로 생성을 하였던 점입니다. 그것은 회원 가입을 위하여 주민번호를 입력을 하게 되면 이미 몇년 몇월이 가입되어 있다라고 나오는 것이죠. 하지만 로그인은 되지 않은 상황입니다. 왜냐하면 이번 조치로 로그인자체는 수정한 모양입니다.

                             <그림설명: H캐피털에 주민번호로 이미 회원가입이 되어있다고 보여지는 화면>

고객님은 이미 현대캐피털에 회원으로 가입이 되어 있다고 합니다. 참..황당하기 그지 없습니다. 한곳을 타켓으로 하여 몰매를 주려는것이 아닙니다.

어떻게 이런일이 생겼을까? 그동안 이러한 부분은 왜 재정비 되지 않았을까? 그져 받으면 그만이고 보내면 그만인 통지만 했다라고 하면 모두일까?


4. 법의 준거성

당신은 '정보통신이용촉진및 정보보호등에 관한 다음 법률을 위반 하셨습니다..

4.1 개인정보의 수집이용동의


제22조(개인정보의 수집·이용 동의 등) ① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.

1. 개인정보의 수집·이용 목적

2. 수집하는 개인정보의 항목

3. 개인정보의 보유·이용 기간

② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집·이용할 수 있다.

1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

[전문개정 2008.6.13]   출처: 여기



개인정보 수집에는 위와 같은 항목을 이용자에게 동의를 구하여야 하는데 임의적으로 주민번호로 아이디를 생성하였습니다.

4.2   개인정보동의 받는 방법

제26조의2(동의를 받는 방법) 제22조제1항, 제23조제1항 단서, 제24조의2제1항·제2항, 제25조제1항, 제26조제3항 단서 또는 제63조제2항에 따른 동의(이하 “개인정보 수집·이용·제공 등의 동의”라 한다)를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정한다.[전문개정 2008.6.13]


아이디를 임의로 생성을 했기 때문에 받는 방법이 명시가 되지 않고 콜센터에 확인 한 바로는 2005년 시스템 변경 작업하면서 본인이 등록되어 있는 정보에는 이메일이나 휴대폰 번호가 기록이 되어 있지 않았다라고 이야기 하고 있습니다. 제 집전화번호을 사용한지 10년이 넘었습니다. 전화 통지를 하지 않았다라는 것이고, 임의로 만들다 보니 개인정보를 정확하게 수집하지 못한 모양입니다.



4.3  개인정보의 보호조치

제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.

[전문개정 2008.6.13]



개인정보의 보호조치 의무를 다 하지 못하였습니다. 필자가 경찰이거나 담당자분들에게 직접 문의한 것이 아니기에 세부 경찰 결과가 나와 봐야 알겠지만  매체에 기사화 된 일부를 보더라도 3. 접속기록의 위조.변조 방지를 위한 조치를 못한 부분에 대한 것은 명시적으로 언론에 공개되었더군요.


4.4  개인정보의 파기

제29조(개인정보의 파기) 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다.

1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 수집·이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우

2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집·이용한 경우에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우

4. 사업을 폐업하는 경우

[전문개정 2008.6.13]



정보통신망법에 개인정보의 보유 및 이용기간이 끝난 경우  즉시 파기 할 것을 법제화 하고 있습니다. 신차 구입시 2009년2월이니까 36개월 할부하여도 그전에 이미 일부 할부와 일시불을 납입했기에 최소한 2002년에는 목적을 다했습니다. 그럼 즉시 파기가 되어야 하는 부분이고, 다른 관계법률에 명시가 되어 있다고 하더라도 최대5년을 넘기지 않습니다. 신용거래에 대한 법률과 통신비밀보호법등에 5년으로 되어 있습니다. 그런데 아직도 해당 개인정보를 파기하지 않고 가지고 있다는 것입니다.


5. 이용자의 권리 주장


개인정보 침해로 인한 이용자의 권리를 주장하였습니다. 다음은 이용자 권리주장에 대한 내역입니다.

-4/13일 10시 29분 : H캐피털사 개인정보피해센터 1588-2114 상담원과 통화
                              최초 접수 상담원에서 다른 상담원으로 이전
-           11시18분 : 고객센터 매니져 분과 통화 29분간 위 사항을 지적하여 이야기함, 주요이야기 포인트는 다음과
                             같습니다.

1) 개인정보 침해 현황을 말해달라 - 잘 모른다.
2) 현재 필자의 개인정보가 누출되었는지 확인해 달라 - 잘 모른다.
3) 향후에 대응방안에 대하여 이야기 해달라 - 딱히 말씀 드릴 내용이 없다. 그럴위치에도 있지 않다.
4) 그럼 매니져분이 하실수 있는 액션은 ?  실제 책임있는 위분에게 말씀 드리겠다.
5) 그냥 이야기 하는 것만으로는 안된다 VOC를 하는 사람은 그 민원이 적용유무를 알고 싶다. 추후 진행 과정을 알려 줄수 있는가? 알려 주겠다. 어떤 수단을 이용할 것인가? 휴대폰으로 알려 주겠다. 하지만 어떤 판단기준을 명확히나 구체화는 단정 하지 못하겠다.

필자도 잘 알기에 매니져가 할일이 있고, 그 위에 책임있는 분이 할 일이 있습니다. 어쨌든 알려 달라고 하고 통화를 마쳤습니다. 필자의 이용자 권리주장은 다음과 같은 근거법령에 의하여 주장 하였습니다.

제30조(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.

② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.

1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보

2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황

3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황

③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다.

④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.

⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.

⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.

⑦ 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 “정보통신서비스 제공자등”은 “영업양수자등”으로 본다.

[전문개정 2008.6.13]





6. H캐피털 대응 방안

오늘 통화를 하면서 종합적으로 판단해 볼때 2005년 이전에 시스템 구축시 회원 아이디는 주민번호로 생성을 하였다고 합니다. 그때 당시에는 아이디라는 부분이 없다라고는 하지만 상식적으로 이해가 가지 않습니다. 또한 2005년 이후에 각 통지를 통하여 주민번호가 아이디화 되어 있으니 바꾸라는 통지를 했다고는 하지만 증빙이 불 명확합니다. 자꾸 변명하기에만 급급합니다.

현행법상 근거규정-정보통신망법

제32조(손해배상) 이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.[전문개정 2008.6.13]


고의 또는 과실이 없음을 입중하지 못하면 책임을 면할 수 없도록 규정하고 있습니다. 지금이라도 빨리 개인정보 유출 현황과 실제 필자처럼 주민번호가 아이디로 사용된 부분에 대하여 어떻게 대응할 것인지에 대한 대응책을 마련하여 제시를 해야 할 것입니다.

그렇지 못할 경우는 그에 따른 합당한 책임을 지셔야 할 것입니다. 개인정보의 주체는 개인이지 기업이 아니라는 점과 그것은 단지 개인정보를 개인정보의 주체인 '개인' 이 동의 했을때만이 가능한 것이지 위 상황처럼 임의로 가입을 시켜 개인정보의 오.남용과 유출을 가져 왔다는 것에 대하여 유감의 뜻을 표하는 바입니다. 이에 따른 공개적인 H 캐피털측의 입장 표명이 있으셔야 겠습니다. @엔시스.

* 혹시 신차구입시 H캐피털을 이용하신 2005년 이전에 분들은 반드시 사이트에서 확인해 보시고 댓글 주시면 감사하겠습니다.


 

Posted by 엔시스



개인정보가 유출되고 나면 늘 대두되는 것 중에 하나가 바로 "개인정보 DB 암호화" 문제입니다. 그럼 개인정보 DB암호화가 무엇을 말하는지 KISA에서 배포한 자료가 있어 공유 하고자 합니다.

말로만 DB암호화라고 들었지 구체적으로 정확히 알지 못하신 분들은 다시 한번 일독하기를 권해 드립니다.  아직도 db 암호화 개념을 잘 이해 못하시는 분들이 많아 올려 드립니다.



Posted by 엔시스

지난 주말에 모 캐피털에서 개인정보가 유출이 되어 일파만파로 번지고 있습니다.  잠시 짚어 볼수 있는 부분을 여러분들과 함께 공유해 보겠습니다. -편집자주



1. 고객정보 42만건 , 1만3천명 고객정보 유출 어떤것이 임팩트 있을까?
   

개인정보 유출 통계치 뻥튀기 하면 안돼~~


우리가 보통 개인정보유출에 대한 정보 보도는 경찰조사 결과에 따라 매체에 의존하여 접하게 됩니다. 그런데 대부분 개인 정보 42만건 이라고 하면 이것이 꼭 개인정보 42만명을 의미 하는것은 아니기에 이러한 부분을 두리뭉술하게 기술하기 보다는 정확한 통계를 짚어서 몇명의 고객정보가 유출이 되었는지를 조금 더 명확하게 제시 하는게 좋습니다. 실제 오늘 모 언론에서는 1만3천명에 대한 개인정보가 유출되었다고 명시한 매체도 있었습니다.




                                                        
 언론에서는 기사의 임팩트를 주기 위하여 42만건, 등의 건수를 통하여 기술하는 것인데 이러할 경우 제대로 통계화 하지 못하거나 해당 경찰의 추정치만 가지고 언론에 공개 하게되면 결국 다른 매체는 또 그 추정치를 쓰게 되고, 정확한 숫자를 가늠하기 어려울 것입니다. 그러니 기자분들은 해당 경찰이나 해당기업에 정확히 취재후 올바른 유출정보를 전달하는 것도 중요하다 하겠습니다.  1만3천명 이라고 하는것 보다 42만건이라고 하는것이 더 뉴스꺼리에 임팩트가 있지 않습니까? 건수와 건명은 확실히 다르다는 것을 기억해야 합니다.


2. 개인정보 유출 라이프 사이프 사이클 파악이 중요


보안사건 사고가 발생하는 경우에 위의 경우에는 개인정보 유출로써 해킹을 당하게 되면 결국 법적 책임소재를 가릴수 밖에 없습니다. 그럴경우에 비지니스 모델이 개인정보 라이프 사이클(Privacy Lifecycel)에 따라 어떻게 흘러가는지를 파악하는것이 우선입니다.  언론에서는 단순히 개인정보 유출되었다고만 했지..세부 구성을 파악하는 것이 아니기 때문입니다. 특히 개인정보에 대해서는 이러한 부분을 가리는것이 중요합니다.

  • 개인정보 3자 제공시
    • 개인정보를 수집시에 약관에 제3자 제공에 대한 부분을 명시를 하고 개인정보를 동의를 받게 됩니다. 하지만 대부분 일반인들은 개인정보 수집 동의시 약관과 개인정보 취급방침에 대하여 상세히 읽어 보지 않습니다. 여기서 말하는 제3자 제공이라고 하는것은 수집은 A라는 업체에서 했지만 개인정보를 수집 목적외에 B라는 업체에 제공하는 것을 동의 하는 경우를 말합니다. 이럴경우 법적 책임은 B업체에 관리 감독과 책임이 있습니다.  개인정보 수집 목적외에 사용될 경우입니다. 
  • 개인정보 위탁시
    • 개인정보 위탁시에는 개인정보 수집 목적과 동일하게 사용하는 경우로, 예를 들어 A쇼핑몰에서 물건을 구입하여 B택배회사를 통하여 배달을 받고자 할때 B택배 회사에 개인정보를 위탁하게 되는 것이죠. 이런경우에 개인정보 수집에 동의 할수 없다면 직거래 할수밖에 없는 것입니다.

최근에는 "정보통신 이용촉진 및 정보보호등에 관한 법률"을 개정하여 이러한 개인정보 수집시에 제3자 제공과 위탁에 대하여 동의 하지 않는다는 이유로 서비스를 제공을 거부 할 수 없는 개인정보 권한 강화를 위해 법을 개정한 바가 있습니다.


3. 보안 사건사고시 준수사항

우선 사건 사고가 발생을 했기 때문에 빠른 대응과 신속한 조치가 이루어지도록 TFT팀을 가동해야 합니다. 이것은 평소에 시나리오화 되어 있어야 합니다.

3.1 기업 측면

  • 업무 연속성계획(BCP)에 준하여 대외 언론 대응
    • 업무연속성계획(Business Continue Plain) 에 준하여 사고 대응 TFT팀을 가동하여 창구를 일원화 시키고 언론에 적절하게 대응을 하면서 정확하게 고객 정보 유출에 대한 대응을 해야 합니다.
    • 무엇보다 고객들의 혼란과 불안을 안정시키기 위하여 홈페이지 공지 및 현안에 대하여 최대한 신속하고 빠르게 대응을 해야 하며, 대응방안을 제시해 주어야 합니다.
  • 최고 책임자의 사과
    • 최고 책임자의 보안 사고에 대한 책임에 대한 사과를 먼저 하고 수습과 대응방안을 강구 하여야 합니다. 또한 고객의 피해를 최소화 하겠다는 의지를 표명하고 경찰의 협조에 적극 대응을 해야 합니다

3.2 개인 측면

  • 개인피해 최소화
    • 언론과 매체를 통하여 자신이 거래하고 있는 기업의 개인정보나 보안사고가 발생했다고 접하였을 시에는 빠른시일내에 관련 정보를 숙지하고 웹페이지의 경우 접속하여 비밀번호 변경등 1차적인 조치를 취하는게 좋겠습니다. 또한 조금 더 꼼꼼하신 분들은 동일한 패스워드로 다른 타 사이트에 그대로 적용을 하고 있다면 타사이트의 비밀번호도 전부 교체 해야 합니다.
  • 개인정보 권리 강화
    • 대부분 자신의 개인정보가 유출 되었다고 하더라도 너무 많은 학습을 통하여 이제는 흔히 일어날수 있는 일이라고 치부하는 경우가 있습니다. 하지만 무엇보다 개인정보 유출은 제2 제3의 사건 사고를 이어질 수 있으므로 자신과 상관 없다고 하여 관심 밖에 일로 두어서는 안됩니다. 직접적인 피해자는 어떠한 피해가 일어났는지를 요구 할 수 있고 알수 있는 권리가 있습니다.


4.  개인정보 유출에 따른 우리의 대응과제

  • 법의 준거성
    • 우리가 옳고 그름을 판단할때에는 감정으로 이루어지는 것이 아닙니다. 법치국가인 만큼 법을 얼마나 지키는가 아닌가에 대한 법의 준거성 측면을 강조 할 수 있기 때문에 이러한 개인정보 유출로 인하여 해외로 빠져 나가거나 중국이나 암거래 시장으로 흘러 들어가게 되면 국익에 반하게 되는 것입니다. 따라서 법적 최소한의 기술적,관리적 보호조치 의무를 다해야 할 것입니다.
  • 보안인식의 확대
    • 보안 사건사고가 한번씩 나고 나면 잠시 언론에서 반짝하다가 사라지는 경우가 비밀비재 합니다. 보안은 직간접적으로 우리 생활과 너무나 많은 부분이 접해 있기에 보안인식을 확대하고 종합적인 대책을 강구해야 할것입니다. 이런 사유로 늦었지만 '개인정보보호법' 이제 제정이 되었고, 9월에 시행만 남겨 둔 시점에서 또 다시 이러한 보안사건사고가 생기는게 안타까울 마음뿐입니다. 국민 모두가 보안인식을 생활화 하는데에 앞장을 서야 하겠습니다.
  • CEO의 보안에 대한 투자 확대
    • 이러한 보안사건 사고가 생기면 모두 해당 업무 담당자의 몫으로 돌리는 경우가 있는데, 실제 실무에서 해당 업무 담당자의 이야기들을 들어 보면 결구 보안은 비용이라는 이야기와 보안 투자에 인색하다는 이야기를 너무나 많이 듣습니다. 우스게 소리로 이런 보안 사고들이 일어나야 경각심을 가진다라는 말이 결코 우스게 소리로 들리지 않을 만큼 중요한 사안임에도 불구하고 현실은 안타깝기만 합니다.


결론

오늘 한 언론 기사에서 CEO가 고개숙이고 고객들에게 사과하는 사진 장면을 보았습니다.  보안 사고는 결국 회사 이미지 추락으로 가져 오게 됩니다. 주가도 하락이 되고 그에 대한 책임은 또 고스란히 최고 책임자인 CEO로 돌아 오게 됩니다. 보안 마인드를 가지고 있는 CEO인지 아니면 그렇지 않는 CEO인지에 따라 회사의 여러가지 신뢰에 성공 여부가 돌아 올 것입니다.

보안사고는 바로 표면적으로 돌아 오게 됩니다. 사이트가 다운된다든지, 고객정보가 유출되었다든지 ..하지만 고객들은 1차적인 책임은 해당 기업으로 화살이 가게 마련입니다.

조금 더 보안에 대한 투자와 보안업무를 담당하는 담당자의 처우개선과 보안에 대한 인식을 더 확대하는 일련의 조치가 취해지지 않는이상 이러한 보안사고는 끊임없이 일어나고 비난 받을 것입니다. 그져 강건너 불구경 하듯이 나만 아니면 돼라는 식으로 안일한 대처를 하다간 하루 아침에 신뢰도가 추락하고 보안에 투자한 비용보다 더 값진 비용을 치러야 할 것입니다.  

"보안은 성공 비지니스의 핵심입니다. "    -엔시스


Posted by 엔시스


최근 빅 트렌드 이슈인 '아이패드' 관련 기사가 외신을 통해 올라오자 국내 언론에서는 일제히 자극적인 문구를 삽입하여 관련 소식을 전해 주고 있습니다. 


                          △ 출처:  아이패드 사용자 정보가 유출되었다고 하는 메일과 ICC-ID 
                          http://gawker.com/5559346/apples-worst-security-breach-114000-ipad-owners-exposed


하지만, 일부 제목에서는 실제 '아이패드' 단말기에 대한 해킹일수 있다는 오해의 소지를 담고 있는 것 같습니다. 그래도 언론중에 가장 잘 전달하고 있는 매일경제 신문이 가장 잘 기사화 한 듯 합니다.

출처: 매경 아이패드 개인정보 유출 개념도


특히 보안에 관련된 기사일 경우 정확한 '팩트(fact)' 를 전달 하는 것이 중요한데 어떠한 다른 기사에도 해당 사건에 대한 이해를 집중하려는 기사는 없는 듯 합니다. 매경의 경우에는 그림을 삽입 함으로 인하여 기사를 이해하는데 도움을 주고 있습니다.

결국, 기사 작성자는 정확하게 파악을 하고 그림까지 삽입하여 기사화 한것이 아닌가 생각이 듭니다. 그림을 자세히 보면 이번 사건은 해커가 AT&T 서버를 침입함으로 인하여 일어난 개인정보 유출이지 아이패드 단말기와는 직접적인 상관이 없다는 사실입니다.

아이패드 단말기는 AT&T 서버에 접근에 가입자 정보를 넘긴 것 밖에 없는 것이죠, 단말기 자체에 대한 취약점 보다는 그 단말기를 이용하여 정보를 수집하는 서버사이드에 취약점 문제인듯합니다.

이러한 형태는 대부분 개인정보유출에서 나타나는 전형적인 문제이며, 특별히 새로울것도 특별할 것도 없는 것이지만 최근 아이패드의 관심을 나타내 주는 단적인 예가 아닌가 생각을 합니다.

아이패드라서 개인정보유출이 이슈화가 되고, 일반 개인 단말기라서 개인정보 유출이 조명을 못 받는다는 것은 그만큼 보안의식이 낮다라는 반증이 아닐까 생각합니다. 굳이 포스팅 할 이유도 없지만 혹시 보안관련 이슈 언론 기사를 접할때 올바르게 접해야 하고 또한 이러한 기사를 전달하는 기자 입장에선 조금 더 자세히 알아보고 어디를 찾아봐도 글씨 하나 안틀리고 똑 같이 기사화 되는 그런 소식은 없었으면 하는 바램이 듭니다.  @엔시스.

Posted by 엔시스

최근 잇다른 개인정보 유출로 인하여 경각심 보다는 오히려 자주 사건 사고를 접함으로 인하여 오히려 둔감해지는게 아닌가 하는 우렴감을 나타내고 있다.

1. 들어가는 글

지난 17대 국회에 "개인정보보법" 이 국회를 통과하지 못하고 결국 18대 국회로 넘어와 있지만 아직도 국회에서 계류중에 있다. 소중한 개인에 대한 정보의 중요성이 커짐에도 불구하고 이제는 너무 많은 개인정보 수집과 유출로 인하여 결국 자신의 소중한 정보가 아닌 사이버 공간을 떠다니는 공유된 정보가 아닌가 하는 착각마져 들게 된다.

이런 이유로 최근 다시 "개인정보보호법" 에 대한 관심이 집중되고 있는 가운데 올해에는 "개인정보보호관리체게(PIMS) " 시행을 앞두고 있고, 또한 개인정보유출로 인하여 관리적,기술적 보호조치를 다 하지 못했다는 이유로 관리자가 사법처리가 되는 경우도 있었다.

이러한 배경에는 국내 보안커뮤니티 "보안인닷컴" 같은 곳에서
"개인정보보호법 제정을 위한 100만인 서명" 운동을 펼치는등 한 몫을 하고 있다는 이야기도 있다.

이렇듯 무엇인가 정부에서 대책을 제시해야 하는 부분까지 오게 되었는데  "개인정보보호법" 제정으로 인한 현재와 달라지는 점을 살펴 보도록 하자.


2. 개인정보보호법 제정으로 현재와 달라지는 점


우선 본 문서의 출처는 [한국CSO협회] 자료실에서 발췌하였음을 밝힌다. 잠시 한눈에 보기 쉽게 하기 위하여 관련 사항을 그림으로 한번 살펴 보겠다.


[그림-1]개인정보보제정으로 현재와 달라지는 점 -1 출처:한국cso협회



개인정보보호법을 제정해야 하는 가장 큰 목적은 크게 두가지로 볼 수 있다.  그 두가지를 살펴보면
  • 개인정보보호를 근간하고 있는 법적 근거인 법의체계가 민간, 공공으로 나누어져 분야별 개별법으로 적용이 되고 있다는 사실이다. 이를 공공, 민간을 통합규율로 적용하는 데에 목적이 있다.
  • 또 한가지는 이런한 개별법 기준으로 개인정보보호가 적용이 되다보니 법의 사각지대에 있는 곳에서 개인정보가 유출이 되어도 처벌할 법적 근거가 없다. 이는 지난해 개인정보 유출 신고건의 50-60%를 차지하고 있다는 것이다. 그중에 가장 큰 사례는 GS칼텍스 개인정보 유출로 사회적 파장을 일으켰으나 처벌할 법적 근거가 미비하여 결국 불기소 처분 되었다. 이에 정부는 급히 정보통신 망법을 개정하여 제67조에 기존 법적 적용을 받는 준용사업자에서 확대하여 기존 8개 사업자에 적용을 받던 것을 12개 사업자를 추가하여 확대 시행하게 되었다. 관련 포스팅 2009/04/20 - [Pravacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어

자세한 내용은 [그림-1]를 참고 하기 바란다. 혹시 그림이 작게 보이는 분은 클릭을 하면 확대되니 클릭해서 참고 하기바란다.

추가적인 개인정보보호법 제정으로 인하여 달라지는 점을 [그림-2]를 통하여 보도록하자. 이는 [그림-1]에서 이어지는 것이니 같은 맥락으로 살펴보면 되겠다.

[그림-2] 개인정보보호법제정으로 달라지는 점 출처:한국CSO협회 홈페이지


조금은 더 자세한 내용을 알고 싶은 사람은 첨부한 파일을 참고 하면 되겠다. 이에는 [개인정보보호법] 에 대한 정부의 안과 이혜훈 의원안과 변재일 의원안이 비교 설명되어 있으니 많은 참고가 될 것이다.


3. 마무리

개인정보보호와 보안에 대한 중요성은 아무리 강조해도 지나치지 않는다. 개인정보 유출 사건이 일어나고 나면 각 언론이나 신문에서 가장 많이 보는 헤드라인이 바로 "소잃고 외양간 고친다" 라는 표현들을 많이 쓴다. 지금이라도 늦지 않았다. 개인정보보호에 대한 정부차원에서 대응방안이 마련이 되어야 하고, 개인정보가 유출이 되어도 처벌할 근거가 없어 법의 사각지대에 있는 부분을 즉각 제거 하여야 한다.,

또한, 과도한 개인정보 수집을 규제를 하여 사후에 필요시에만 개인정보를 활용하는 법적, 제도적 마련도 해야 한다. 잘 지키지도 못할 개인정보를 과도하게 수집을 하여 결국 유출시에는 많은 피해가 이루어지는 반복적인 사고는 줄여야 겠다. 이는 지난번 유튜브에 대한민국 주민등록번호 수집하는 동영상이 올라온 것도 이를 반증하는 것이다. 그만큼 쓸모가 있기때문에 수집하고 유출이 되는 것이다. 또한 이제는 고정적인 개인정보 보다는 경험에 의한 개인정보를 활용함으로 인하여 그 개인만이 알수 있는 정보로 전환하는 혜안이 필요 할때다. @엔시스.

PS. 덧붙이는 파일은 한국CSO협회 자료실에 게재된 [개인정보보호법제정]에 따라 달라지는점에 대한 자료이다. 본 포스팅은 그 자료를 기반으로 개인적인 생각을 덧붙여 재구성 해 보았다.  의견있으신 분들은 댓글로 의견 나누었으면 합니다.



Posted by 엔시스

개인정보보호에 불씨를 당겨준 '옥션의 개인정보보호 유출 사건' 어제 법정에 판결이 났습니다. 우려스러운 마음으로 개인정보보호에 대한 개인 생각을 정리 해 보았습니다.

관련기사

"옥션 정보유출 배상책임 없어"


옥션측은 집단소송이라는 중압감 때문에 준비철저히 했을터

옥션측은 아마도 집단 소송이라는 중압감 때문에 회사의 사활을 건 문제이기도 할 것이다. 그렇기 때문에 이번 법정 판결에서는 아무래도 꼭 승소 해야 한다는 다짐으로 임했을 것이다. 반면 집단소송을 준비하는 쪽에서는 얼마나 준비했을지 의문시 되는 점이기도 하다. 그것은 집단 소송인원 일일이 챙겨야 하는 부분들이 많기 때문에 소송에 승소를 준비하기 보다 집단소송을 제기한 사람들에 대한 관리에 힘이 분배가 되지 않았나 생각이 든다.


개인정보유출에 대한 판례로 인하여 오히려 더 개인정보에 대한 불감증이 커지지 않을까

법 판결에 있어 판례라는 것은 무시 못한다. 그렇기에 집단 소송으로 일어나는 개인정보 유출에 대한 제동이 걸린듯 하다. 개인정보보호를 위한 회피 사례가 되지 않을까 하는 우려감이 든다. 기업 입장에서는 개인의 소중한 정보를 보호하는 것은 어쩌면 당연한 결과이다. 하지만 이러한 사례로 인하여 보안 불감증. 즉, 사고가 났을때만 난리가 나고 또 똑같은 자리로 되돌아가는 정보보호 의식 수준은 늘 제자리에 머물고 있지 않을까 생각이 든다.


기업에도, 집단소송자에도, 집단 소송대리인에게도 하나의 교훈으로 남았으면

사실 기업입장에서 보면 회사의 존폐위기가 될수도 있다, 그것은 그만큼 집단 소송으로 인한 부담이 크기 때문이다. 그런 의미에서 기업들의 부담을 덜어준 케이스이고 집단 소송자들은 사실 분위기에 휩쓸려 아무런 정보보호에 대한 인식없이 막연히 참여한 사람들도 있을지 모른다. 이젠 조금은 신중하게 접근할 필요가 있다. 집단 소송대리인의 경우 마치 무슨 껀수 하나를 잡은듯 커뮤니티를 개설하여 앞장서고 하였지만 결국 본인들 배만 불렸다는 여론은 피할수가 없을 것이다. 조금은 신중하게 접근 할 필요가 있은 듯 하다.


법률전문가 + 정보보호전문가 인력이 없어

모든 사회활동이 법에 테두리에서 이루어지는 것임으로 법률을 전공한 법률 전문가에게 법을 맡기는 것이 당연하다. 하지만 해킹이나 사이버범죄, 그리고 개인정보유출이나 기술적 문제는 상당한 보안지식을 필요로 하는 부분이다. 이러한 부분을 법률전문가의 입장에서만 잣대를 대기에는 다소 무리가 있는 부분도 있다. 따라서 보안에 전문적인 지식이 있으면서 법률에 지식이 있거나 법률지식이 있으면서 보안지식이 필요로 하는 분야가 점차 넓어지리라 생각이 든다. 이번 개인정보유출을 기본적인 법의 잣대로만 보기보다 기술적인 측면에서 향후 재발방지 차원에서도 상당히 아쉬운 부분들이 있다.
법률전문가, 정보보호전문가 하나만 하기에도 사실 벅찬 분야일수도 있지만 이젠 지식사회에서 다양한 전문지식을 요구하고 있어 전문가로 살아 남기위해서는 컨버젼스를 해야 할 듯하다.


마무리

이번 판결이 보안측면에서는 상당히 아쉬운 면이 있다. 하지만 개인과 기업을 두고 보았을때 기업이 개인정보보호에 대한 책임과 의무가 있기에 조금 더 신경을 썼으면 좋겠고, 아마도 이번 사건을 악용하는 사례가 없었으면 하는 바램을 가진다. 또한 무분별한 집단 소송을 가지는 것보다는 변호를 대리하는 측에서도 더 많은 준비를 해야 할 것으로 보인다. 항소의 뜻을 밝히긴 하였지만 긴 법정 소송과 얼마되지 않을꺼 같은 보상은 개인정보를 유출 당하고도 자신의 권리를 찾지 못하는 것 같아 씁쓸한 감 마져든다. 참고로 원고와는 달리 이번 피고측 변호인은 국내를 대표하는 법무법인에서 변호를 한 것으로 알려져 있다.

이제 섣불리 사람만 모집해서 집단 소송을 하여 결국 대리소송인만 이익을 취하고 패소하는 판례를 남겨 자칫 보안에 대한 인식제고에 걸림돌이 되지 않도록 묻지마 집단소송 은 자제를 하는것이 좋겠다라는 생각이 든다.  @엔시스.

Posted by 엔시스