지난 주말에 모 캐피털에서 개인정보가 유출이 되어 일파만파로 번지고 있습니다.  잠시 짚어 볼수 있는 부분을 여러분들과 함께 공유해 보겠습니다. -편집자주



1. 고객정보 42만건 , 1만3천명 고객정보 유출 어떤것이 임팩트 있을까?
   

개인정보 유출 통계치 뻥튀기 하면 안돼~~


우리가 보통 개인정보유출에 대한 정보 보도는 경찰조사 결과에 따라 매체에 의존하여 접하게 됩니다. 그런데 대부분 개인 정보 42만건 이라고 하면 이것이 꼭 개인정보 42만명을 의미 하는것은 아니기에 이러한 부분을 두리뭉술하게 기술하기 보다는 정확한 통계를 짚어서 몇명의 고객정보가 유출이 되었는지를 조금 더 명확하게 제시 하는게 좋습니다. 실제 오늘 모 언론에서는 1만3천명에 대한 개인정보가 유출되었다고 명시한 매체도 있었습니다.




                                                        
 언론에서는 기사의 임팩트를 주기 위하여 42만건, 등의 건수를 통하여 기술하는 것인데 이러할 경우 제대로 통계화 하지 못하거나 해당 경찰의 추정치만 가지고 언론에 공개 하게되면 결국 다른 매체는 또 그 추정치를 쓰게 되고, 정확한 숫자를 가늠하기 어려울 것입니다. 그러니 기자분들은 해당 경찰이나 해당기업에 정확히 취재후 올바른 유출정보를 전달하는 것도 중요하다 하겠습니다.  1만3천명 이라고 하는것 보다 42만건이라고 하는것이 더 뉴스꺼리에 임팩트가 있지 않습니까? 건수와 건명은 확실히 다르다는 것을 기억해야 합니다.


2. 개인정보 유출 라이프 사이프 사이클 파악이 중요


보안사건 사고가 발생하는 경우에 위의 경우에는 개인정보 유출로써 해킹을 당하게 되면 결국 법적 책임소재를 가릴수 밖에 없습니다. 그럴경우에 비지니스 모델이 개인정보 라이프 사이클(Privacy Lifecycel)에 따라 어떻게 흘러가는지를 파악하는것이 우선입니다.  언론에서는 단순히 개인정보 유출되었다고만 했지..세부 구성을 파악하는 것이 아니기 때문입니다. 특히 개인정보에 대해서는 이러한 부분을 가리는것이 중요합니다.

  • 개인정보 3자 제공시
    • 개인정보를 수집시에 약관에 제3자 제공에 대한 부분을 명시를 하고 개인정보를 동의를 받게 됩니다. 하지만 대부분 일반인들은 개인정보 수집 동의시 약관과 개인정보 취급방침에 대하여 상세히 읽어 보지 않습니다. 여기서 말하는 제3자 제공이라고 하는것은 수집은 A라는 업체에서 했지만 개인정보를 수집 목적외에 B라는 업체에 제공하는 것을 동의 하는 경우를 말합니다. 이럴경우 법적 책임은 B업체에 관리 감독과 책임이 있습니다.  개인정보 수집 목적외에 사용될 경우입니다. 
  • 개인정보 위탁시
    • 개인정보 위탁시에는 개인정보 수집 목적과 동일하게 사용하는 경우로, 예를 들어 A쇼핑몰에서 물건을 구입하여 B택배회사를 통하여 배달을 받고자 할때 B택배 회사에 개인정보를 위탁하게 되는 것이죠. 이런경우에 개인정보 수집에 동의 할수 없다면 직거래 할수밖에 없는 것입니다.

최근에는 "정보통신 이용촉진 및 정보보호등에 관한 법률"을 개정하여 이러한 개인정보 수집시에 제3자 제공과 위탁에 대하여 동의 하지 않는다는 이유로 서비스를 제공을 거부 할 수 없는 개인정보 권한 강화를 위해 법을 개정한 바가 있습니다.


3. 보안 사건사고시 준수사항

우선 사건 사고가 발생을 했기 때문에 빠른 대응과 신속한 조치가 이루어지도록 TFT팀을 가동해야 합니다. 이것은 평소에 시나리오화 되어 있어야 합니다.

3.1 기업 측면

  • 업무 연속성계획(BCP)에 준하여 대외 언론 대응
    • 업무연속성계획(Business Continue Plain) 에 준하여 사고 대응 TFT팀을 가동하여 창구를 일원화 시키고 언론에 적절하게 대응을 하면서 정확하게 고객 정보 유출에 대한 대응을 해야 합니다.
    • 무엇보다 고객들의 혼란과 불안을 안정시키기 위하여 홈페이지 공지 및 현안에 대하여 최대한 신속하고 빠르게 대응을 해야 하며, 대응방안을 제시해 주어야 합니다.
  • 최고 책임자의 사과
    • 최고 책임자의 보안 사고에 대한 책임에 대한 사과를 먼저 하고 수습과 대응방안을 강구 하여야 합니다. 또한 고객의 피해를 최소화 하겠다는 의지를 표명하고 경찰의 협조에 적극 대응을 해야 합니다

3.2 개인 측면

  • 개인피해 최소화
    • 언론과 매체를 통하여 자신이 거래하고 있는 기업의 개인정보나 보안사고가 발생했다고 접하였을 시에는 빠른시일내에 관련 정보를 숙지하고 웹페이지의 경우 접속하여 비밀번호 변경등 1차적인 조치를 취하는게 좋겠습니다. 또한 조금 더 꼼꼼하신 분들은 동일한 패스워드로 다른 타 사이트에 그대로 적용을 하고 있다면 타사이트의 비밀번호도 전부 교체 해야 합니다.
  • 개인정보 권리 강화
    • 대부분 자신의 개인정보가 유출 되었다고 하더라도 너무 많은 학습을 통하여 이제는 흔히 일어날수 있는 일이라고 치부하는 경우가 있습니다. 하지만 무엇보다 개인정보 유출은 제2 제3의 사건 사고를 이어질 수 있으므로 자신과 상관 없다고 하여 관심 밖에 일로 두어서는 안됩니다. 직접적인 피해자는 어떠한 피해가 일어났는지를 요구 할 수 있고 알수 있는 권리가 있습니다.


4.  개인정보 유출에 따른 우리의 대응과제

  • 법의 준거성
    • 우리가 옳고 그름을 판단할때에는 감정으로 이루어지는 것이 아닙니다. 법치국가인 만큼 법을 얼마나 지키는가 아닌가에 대한 법의 준거성 측면을 강조 할 수 있기 때문에 이러한 개인정보 유출로 인하여 해외로 빠져 나가거나 중국이나 암거래 시장으로 흘러 들어가게 되면 국익에 반하게 되는 것입니다. 따라서 법적 최소한의 기술적,관리적 보호조치 의무를 다해야 할 것입니다.
  • 보안인식의 확대
    • 보안 사건사고가 한번씩 나고 나면 잠시 언론에서 반짝하다가 사라지는 경우가 비밀비재 합니다. 보안은 직간접적으로 우리 생활과 너무나 많은 부분이 접해 있기에 보안인식을 확대하고 종합적인 대책을 강구해야 할것입니다. 이런 사유로 늦었지만 '개인정보보호법' 이제 제정이 되었고, 9월에 시행만 남겨 둔 시점에서 또 다시 이러한 보안사건사고가 생기는게 안타까울 마음뿐입니다. 국민 모두가 보안인식을 생활화 하는데에 앞장을 서야 하겠습니다.
  • CEO의 보안에 대한 투자 확대
    • 이러한 보안사건 사고가 생기면 모두 해당 업무 담당자의 몫으로 돌리는 경우가 있는데, 실제 실무에서 해당 업무 담당자의 이야기들을 들어 보면 결구 보안은 비용이라는 이야기와 보안 투자에 인색하다는 이야기를 너무나 많이 듣습니다. 우스게 소리로 이런 보안 사고들이 일어나야 경각심을 가진다라는 말이 결코 우스게 소리로 들리지 않을 만큼 중요한 사안임에도 불구하고 현실은 안타깝기만 합니다.


결론

오늘 한 언론 기사에서 CEO가 고개숙이고 고객들에게 사과하는 사진 장면을 보았습니다.  보안 사고는 결국 회사 이미지 추락으로 가져 오게 됩니다. 주가도 하락이 되고 그에 대한 책임은 또 고스란히 최고 책임자인 CEO로 돌아 오게 됩니다. 보안 마인드를 가지고 있는 CEO인지 아니면 그렇지 않는 CEO인지에 따라 회사의 여러가지 신뢰에 성공 여부가 돌아 올 것입니다.

보안사고는 바로 표면적으로 돌아 오게 됩니다. 사이트가 다운된다든지, 고객정보가 유출되었다든지 ..하지만 고객들은 1차적인 책임은 해당 기업으로 화살이 가게 마련입니다.

조금 더 보안에 대한 투자와 보안업무를 담당하는 담당자의 처우개선과 보안에 대한 인식을 더 확대하는 일련의 조치가 취해지지 않는이상 이러한 보안사고는 끊임없이 일어나고 비난 받을 것입니다. 그져 강건너 불구경 하듯이 나만 아니면 돼라는 식으로 안일한 대처를 하다간 하루 아침에 신뢰도가 추락하고 보안에 투자한 비용보다 더 값진 비용을 치러야 할 것입니다.  

"보안은 성공 비지니스의 핵심입니다. "    -엔시스


Posted by 엔시스

보통 해킹이나 침해 사고를 당하면 담당자나 기업에서는 상당히 당황하게 됩니다. 하지만 조금만 침착하게 대응한다면 추후 관련 사고를 막을수 있을 것입니다. 따라서 침해사고시 관련기관을 잘 몰라 신고를 하지 않고 그대로 묵인하는 경우가 있는데 어떤 기관이 있는지 초보자들을 위하여 한번 살펴 보겠습니다.


1. 국가정보원 국가사이버안전센터
   정부, 공공, 교육 등 주요기관 관련 각종 침해사고 신고 및 상담
   Tel : 02)3432-0462
   http://www.ncsc.go.kr



우선 국가공공기관이나 지자체 같은 경우에는 국가정보원 산하에 있는 국가 사이버안전센터에 신고를 하시면 됩니다. 특히 공공기관이나 교육 지자체 같은 경우에는 침해사고나 해킹을 당하면 그 피해가 커져 버릴수 있기 때문에 침해사고를 당하면 즉시 관련 기관과 협조를 하여 사고를 수습하고 재발 방지에 총력을 기울여야 할 것입니다.


2. 한국정보보보진흥원
   1) 인터넷 침해사고 대응지원센터
     해킹사고, 게임사이트 및 포털사이트를 사칭하는 피싱사고, 보안 취약점 등 신고
     신고메일
     Tel : 118
     http://www.krcert.or.kr


민간 기업이나 개인이 침해사고나 해킹등을 당하였을 때 신고하는 기관입니다.. 여러가지 기술적인 부분도 해결이 가능하고 민간 기관에 대하여 대응을 하는 정보보호관련 기관입니다.. 아직까지도 KISA에 대하여 알지 못하는 분들도 계시더군요.. 홈페이지 변조나 DDoS 공격 같은 경우 혼자 힘으로 막으려고 하지 말고 관련 기관에 협조를 구하여 대응을 한다면 조금 더 신속하고 효율적으로 대처가 가능 할 것입니다..

해당 웹싸이트에선 최근 유행하고 있는 해킹이나 보안 이슈에 대한 기술문서도 제공을하고 있으니 보안에 관심 있는 분들이나 공부를 하고자 하는 분들은 이러한 기술문서를 참고로 하여 어떠한 기술적 문제로 인하여 공격이 들어왔는지 또는 공격이 이루어 지고 있는지에 대하여 연구를 해 보시면 좋겠습니다..

또한 현재 KISA에서는 국가공인 정보보호전문가 자격증 (SIS) 시험을 주관하고 있기 때문에 관련 기술문서는 필기,실기 시험에도 도움이 되고 있으니까 많은 공부를 해 보시기 바랍니다.


3. 경찰청 사이버테러대응센터
   주민등록번호 도용, IP추적, Voice 피싱, 인터넷상의 아이템사기, 사용자ID도용, 사기, 해킹/바이러스 유포 등
   사이버범죄 수사관련 상담 및 신고
   Tel : 02)3939-112
   http://www.ctrc.go.kr



그 다음 우리가 또 도움을 받을수 있는 곳이 경찰청 사이버테러 대응센터이지요... 실제 주민등록번호 도용이라든지 법적인 해결을 위해서는 사이버테러대응센터에서 도움을 받을수 있습니다. DDoS에 대한 협박이라든지 보이스피싱등 여러가지 도움을 받을수 있겠지요...결국 사이버 범죄에 대한 최종 법적인 잣대를 댈수있는 기관이기도 합니다..따라서 침해사고나 해킹이라고 판단이 된다면 해당 기관에다 협조와 신고를 반드시 해야 겠습니다..


4. 금융감독원 전자민원창구
   은행, 증권, 카드, 보험 관련 분쟁, 금융범죄 등 상담 및 신고
   Tel : 02)1332
  
http://minwon.fss.or.kr


인터넷이 발달함에 따라 사이버상에서 전자 상거래를 많이하게 됩니다..그러다 보면 금융, 즉 돈과 관련된 여러가지 법률적 자문을 구하는 경우가 있습니다.. 인터넷 뱅킹에 따른 범죄라든지..하는 경우에는 관련 기관에도 이렇게 신고를 할수 있는 전담 창구가 있기 때문에 이용을 하시면 되겠습니다. 

특히, 최근에는 보험에 관련하여 여러가지 분쟁들이 많이 이루어 지고 있는데 이러한 문제들도 짚어 줄수 있는 곳이라 생각을 합니다. 


5.  금융보안 연구원 침해사고 센터(KFCERT(Korea Financial CERT)

해킹 신고 메일 주소 :
해킹 신고 전용 전화 : 02-6919-9119

피싱신고서 : 해킹신고서.hwp    해킹신고서.doc    해킹신고서.rtf
http://www.fsa.or.kr/cert.htm


특히 은행권에 대하여 집중 관리해주는 금융보안연구원에서도 침해 사고 센터가 있어 많은 부분을 담당을 해 주고 있습니다..금융에 따른 사고는 엄청난 파장을 몰고 올수 있는 곳이라 해당 침해사고 센터에서 부단히 노력을 하고 있는 걸로 알고 있습니다..
돈과 관련된 부분이다 보니...-_-;;;

 
6. 개인정보 침해신고센터
     주민번호, ID 등 개인정보도용, 회원탈퇴 미조치 등 인터넷상의 개인정보침해 관련 사항 신고
     Tel : 1336
    
http://www.cyberprivacy.or.kr      http://www.1336.or.kr


마지막으로 최근 화두가 되고 있는 개인정보 침해를 당했다고 생각이 들때에는 개인정보 침해 신고센터로 신고를 하시면 됩니다. 여러가지 개인정보보호에 대한 조치를 하고 있으며, 분쟁시에는 개인정보분쟁 조정위원회를 열어 여러가지 분쟁에 따른 결과를 알려 주기도 합니다...

이상과 같이 여러가지 정보보호,정보보안에 대하여 본인이 침해 행위를 당했다고 느껴 질때 어떤 기관에 어떻게 신고할지를 몰라 그냥 묵인을하고 혼자 감내 하는것 보다는 관련 기관에 신고를 하여 적절한 조치와 대응에 따르는 것이 현명한 판단이라 생각이 듭니다..

다만 우려하는 점은 이러한 신고 창구는 마련이 되었는데 얼마나 잘 대응을 해 주는냐가 관건이 되겠습니다,  하지만 이러한 창구가 있음에도 불구하고 제대로 활용되지 못한다면 그것 또한 안타까운 일이 아닐수 없습니다..이미 아시는 분들은 알고 있는 내용일수도 있지만 초보자나 알지 못하는 분들을 위해서 한번 정리 해 보았습니다...관련 창구를 충분히 활용하시길 바랍니다..

@엔시스

Posted by 엔시스