반응형
기사 한줄요약(22.3.23.):
개인정보보호위원회는 23일 전체회의에서 개인정보보호가 유출된 기업 16개에 대한 처분을 의결했다고 한다. KISA에 의해 조사 결과 기업 16개의 개인정보 유출 사고에서 해킹에 의해 발생된 경우는 12건이고, 업무상 과실은 4건이다. 세부적으로는 아마존 클라우드서비스(AWS) 이용 시 안전한 인증수단을 적용하지 않아 관리자 접근권한 탈취, SQL인젝션, 웹셀 공격, 무작위 대입 공격과 같은 해킹 방법에 의한 유출, 업무상 실수로 개인정보가 외부에 노출 되거나, 내부 직원에게 개인정보 잘못 전달 등이 있다. 이렇게 유출된 개인정보는 일부 다크웹에 개시되거나 광고성 스팸 메일, 보이스피싱에 이용이 되었으며, 일부의 경우는 유출통보가 되지 않았다. 개인정보보호위원회는 16개 사업자 모두에게 과태료 부과하였으며, 그 중에서도 안전조치가 미흡된 곳에는 과징금도 부과하였다.
사업자별 위반 사항 및 처분 세부 내용
| 연변 | 위반 사업자 | 위반 내용 | 위반조항 | 시정조치(안) |
| 1 | 캔바 | - 유출신고 지연 - 보호조치 미흡 |
舊정보통신망법 §27의3①, §28① |
- 시정명령 - 과태료 1,000만원 - 결과 공표 |
| 2 | 징가 | - 유출통지ㆍ신고 지연 - 보호조치 미흡 |
舊정보통신망법 §27의3①, §28① |
- 과징금 530만원 - 과태료 1,300만원 - 결과 공표 |
| 3 | 풀루크 | -안전조치 미흡 - 유출통지ㆍ신고 지연 |
舊보호법 §29, §34①, §34③ |
- 과태료 900만원 - 결과 공표 |
| 4 | (주)하우빌드 | -안전조치 미흡 | 보호법 §24의2①, §29 |
- 시정명령 - 과징금 590만원 - 과태료 900만원 - 결과 공표 |
| 5 | 성보공업(주) | - 개인정보 미파기 | 보호법 §21① | - 과징금 1,250만원 - 과태료 900만원 - 결과 공표 |
| - 주민등록번호 처리 위반 | 보호법 §24의2① | |||
| - 암호화되지 않은 주민번호 유출 | 보호법 §24의2② | |||
| - 유출 미통지 | 보호법 §34① | |||
| 6 | 한국화재연구소(주) | -안전조치 미흡 | 보호법 §29 | - 과태료 480만원 |
| 7 | (주)넬슨스포츠 | -안전조치 미흡 | 보호법 §29 | - 과태료 300만원 |
| 8 | 아시아나항공(주) | -안전조치 미흡 | 보호법 §29 | - 과태료 480만원 |
| 9 | SK하이닉스(주) | -안전조치 미흡 | 보호법 §29 | - 과태료 540만원 |
| 10 | 휘닉스중앙(주) | -안전조치 미흡 | 보호법 §34① | - 과태료 300만원 |
| 11 | (주)잇올 | -안전조치 미흡 | 보호법 §29 | - 과태료 300만원 |
| 12 | (주)디지틀조선일보 | -안전조치 미흡 | 보호법 §29 | - 과태료 600만원 |
| 13 | 강원도의사회 | -안전조치 미흡 | 보호법 §29 | - 과태료 300만원 |
| 14 | 한국투자신탁운용(주) | -안전조치 미흡 | 보호법 §29 | - 과태료 300만원 |
| 15 | (유)스태츠칩팩코리아 | - 주민등록번호 암호화 미조치 | 보호법 §24의2② | - 과태료 300만원 |
| 16 | 제이셋스태츠칩팩코리아(유) | - 주민등록번호 암호화 미조치 | 보호법 §24의2② | - 과태료 300만원 |
▲ 출처 : 개인정보보호위원회
[ 舊 정보통신망법 ]
제27조의3(개인정보 유출등의 통지ㆍ신고)
① 정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출(이하 “유출등”이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
② 제1항의 신고를 받은 한국인터넷진흥원은 지체 없이 그 사실을 방송통신위원회에 알려야 한다.
③ 정보통신서비스 제공자등은 제1항 본문 및 단서에 따른 정당한 사유를 방송통신위원회에 소명하여야 한다.
④ 제1항에 따른 통지 및 신고의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑤ 정보통신서비스 제공자등은 개인정보의 유출등에 대한 대책을 마련하고 그 피해를 최소화할 수 있는 조치를 강구하여야 한다.
제28조(개인정보의 보호조치)
① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립ㆍ시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영
3. 접속기록의 위조ㆍ변조 방지를 위한 조치
4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치ㆍ운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다.
☞ 현재는 둘다 삭제
[ 개인정보보호법 ]
제21조(개인정보의 파기)
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
제24조의2(주민등록번호 처리의 제한)
① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다. <개정 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>
1. 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우
② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다. <신설 2014. 3. 24., 2015. 7. 24.>
③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. <개정 2014. 3. 24.>
④ 보호위원회는 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련ㆍ지원할 수 있다.
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
제34조(개인정보 유출 통지 등)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
원병철 기자, "클라우드 서비스 사용시 안전한 인증수단 안쓰면 해킹당할 가능성 높다", 보안뉴스, https://www.boannews.com/media/view.asp?idx=105623
클라우드 서비스 사용시 안전한 인증수단 안쓰면 해킹당할 가능성 높다
최근 디지털 전환 등의 이유로 클라우드 서비스 이용이 늘어나고 있는 상황에서 안전한 인증수단을 쓰지 않아 해커에게 관리자 권한을 탈취당한 기업들이 고객정보를 유출해 큰 충격을 주고 있
www.boannews.com
반응형
