개인정보 유출 사례로 살펴보는 정보보호 시스템

- 들어가는 글

 

2011년 9월, 개인정보보호법의 발효 이 후 국민 개개인의 개인정보 보호에 대한 관심도와 침해에 대한 적극적인 행동이 높아져 가고 있으며 또한 개인정보(고객정보) 취급사의 보안 대응도 수동적인 모습에서 능동적인 모습으로 변해가고 있다.

 

그러나 심심치 않게 들려오는 “개인정보 유출” 사고 소식과 하루에도 수 차례씩 걸려 오는 스팸 전화와 문자 메시지는 “과연 나의 정보가 제대로 지켜지고 있고, 정당한 방법으로 사용되고 있는지에 대한 의문”을 증폭 시키는 것 또한 사실이다.

 

 

이에 “개인정보 유출 사례”를 살펴보면서 개인정보(고객정보)를 취급하는 회사/단체의 입장에서 어떠한 절차와 시스템의 적용이 개인정보의 주체인 고객의 “개인정보 자기 결정권”을 보장하는 것인지를 알아보도록 하자.

 

먼저, 개인정보를 영어로는 Personal Identifiable Information이라고 표현하는 데 이것은 “특정 개인을 식별하거나 식별할 수 있는 정보”를 의미한다. 즉, 개인과 직간접적으로 관련된 일체의 정보는 개인정보에 해당된다.

 

그렇기 때문에 “개인정보보호”를 다음과 같이 정의 하는 것이다.

 

“정보주체(고객, 이용자)의 개인정보가 안전하게 수집, 이용, 취급, 관리되도록 하고, 정보주체의 동의 없이 함부로 수집되거나 이용, 제공되지 않도록 함으로써 정보주체의 ‘개인정보 자기 결정권’을 보장하는 것”

 

위에 표현된 “개인정보 자기 결정권의 보장”은 “정보의 수집/가공/저장/검색/송, 수신 중에 정보의 훼손/변조/유출 등을 방지하기 위한 관리적/기술적 수단의 적용”을 통해 이루어지도록 해야 한다. 즉, 개인정보 보호를 충족할 수 있도록 보안을 위한 프로세스와 정책의 실행 및 관련 보안 시스템의 도입이 있어야 하는 것이다.

 

1. 개인정보 유출 사례^(*주1)

 

일시	위치 (기업)	유출 건수	비고
2008년 1월	옥션	1,863 만 명	해킹
2008년 9월	GS칼텍스	1,125 만 명	내부 직원의 판매
2009년 4월	네이버	9 만 명	유출
2010년 3월	인천(조선족 해커)	2,000 만 명	해커가 개인정보 판매
2010년 3월	대전(중국 해커)	650 만 명	해커가 개인정보 판매
2010년 4월	부산(중국 해커)	1,300 만 명	해커가 개인정보 판매
2011년 4월	현대 캐피탈	175 만 명	해킹
2011년 7월	SK컴즈, 네이트	3,500 만 명	해킹
2011년 8월	한국 앱손	35 만 명	해킹
	총 개인정보 유출 건수	1억 657 만 명

[표 1: 민간 기업의 개인정보 유출 사례]

 

 

위의 표와 같이 보도를 통해 알려진 유출 사례만 대충 정리를 해도 국민 전체가 두 번 정보 유출의 피해를 입은 것과 같은 유출 사고가 발생, 보고 되었다.

 

또한 개인정보 유출 사례로 “개인정보보호 종합지원 포털 www.privacy.go.kr”에 소개된 내용을 보면 다음의 표와 같다.

 

사 례	비고
차량등록 시스템에 있는 차량번호, 주민번호, 이름 등 150여명의 정보를 다른 공무원으로부터 건네 받아 개인목적으로 사용	개인정보 오/남용
주민센터 직원이 심부름 센터 등에 건당 만원 씩 받고 개인정보 판매	개인정보 매매
ㅇㅇ시 공무원 두 명이 시립묘지 연고자 6,449 명의 개인정보를 장묘 업체 관계자에 유출	개인정보 유출
교육청 장학사가 교육위원에 출마한 후배를 위해 관내 교직원 3,000 여명의 이름, 전화번호 등 유출	개인정보 유출
민원인 수백 명의 이름, 주민번호, 주소 등 개인정보가 포함된 보도자료를 인터넷 홈페이지에 공개	홈페이지 노출
모 공단 직원이 고객정보 10만 건이 기록된 서류 미 파기 및 차량 방치	허술한 관리/방치

[표 2: 공공기관의 개인정보 유출 사례]

 

[표1,2]에 소개된 사례들의 내용과 원인을 살펴보면 개인정보의 유출은 개인정보의 생명주기(Life Cycle; 수집에서부터 폐기에 이르는 전 과정) 전 과정에 걸쳐 발생하고 있으며, 또한 취급자 및 관련자의 부주의(Human Factor)에 의한 것이 많음을 알 수 있다.

 

그럼 위와 같은 결과로 민간기업이나 공공기관이 져야 할 법률적 책임은 어떠한지 알아보자.

 

2. 개인정보 유출에 대한 법률적 책임^(*주2)

 

먼저 업무처리 과정에서의 개인정보 유출에 대한 책임은 본사 직원 및 수탁업체 직원에 상관 없이 민사상 책임과 함께 고의/과실 없음을 입증해야 하며, 형사 책임으로서는 고의에 의한 경우는 당연히 행위자가 처벌을 받게 되며, 입건 대상자는 기업의 개인정보 담당 임직원(개인정보관리책임자로 지정된 사람에 국한되지 않음)이 된다.

또한 기술적/관리적 보호조치 위반에 의한 것으로 평가될 경우 “부작위”가 처벌되는 결과를 낳는다.

 

다음으로 해킹에 의한 유출의 책임은 내부자에 의한 해킹과 외부자에 의한 해킹으로 나눌 수 있고 특히 내부자에 의한 해킹은 개인정보 취급자에 의한 것 인지 개인정보 취급자가 아닌 자에 의한 것인 지로 세분해서 책임의 소재를 밝힌다.

 

해킹에 의한 유출은 민/형사상 책임이 인정될 가능성이 아주 높으며, 특히 형사책임에 있어서 기술적/관리적 보호조치 위반으로 평가 받을 가능성이 아주 높다.

 

개인정보관리책임자(CPO)의 형사 책임여부는 업무결정에 관여한 경우, 업무결정에 관여하지 않은 경우, 관리감독에 철저했는지의 여부에 따라 그 경중이 달라진다 하겠다.

 

마지막으로 개인정보 유출에 대한 법적 책임을 요약하면,

 

<형사책임>

-암호화 의무 등 보호조치고시 위반 등 일정한 경우 형사책임 발생

-양벌규정으로 인한 회사의 책임 발생 및 벌금의 부과

 

<민사책임>

-직원(수탁회사 포함)의 개인정보 침해 시 회사의 사용자 책임 발생

-집단 소송에 따른 거액의 손해배상책임 부담

 

<그 외>

-공정거래위원회의 시정 명령, 한국소비자원의 집단분쟁 조정절차 개시, 개인정보분쟁조정위원회의 조정절차 개시 등

 

3. 관리적/기술적 수단의 적용 à 정보보호 시스템

 

관리적/기술적 수단의 적용은 개인정보관리 책임자, 개인정보 취급자 등의 선별과 지정을 해당 자격 요건과 개인정보의 생명 주기에 맞게 권한을 위임하고 책임을 부여함과 동시에 그 권한과 책임이 원활하게 기능할 수 있도록 자사의 보안 프로세스를 정립하는 것이 그 시작이라 할 수 있다.

 

기술적 수단의 적용, 보안 시스템의 도입 기준은 자사의 비즈니스 방식, 중요 정보의 흐름과 최종 저장소의 형태, 보안 수준 목표, 자사 보안 프로세스와의 융합도 등의 네 가지로 꼽을 수 있다.

 

특히 위의 소개된 유출 사례들을 보면 개인정보(피해사의 보호대상 데이터)의 최종 모습(최종 저장소의 형태)을 보면 세 가지 형태를 보이는 것을 알 수 있는데, 첫 번째로 출력된 문서, 두 번째로 PC 등의 개인용 장비, 세 번째로 서버, 특히 데이터베이스 서버 등이다.

 

개인정보 등을 위시한 중요 정보의 출력은 세 가지 방식으로 나타날 수 있는데 위의 유출사례에서도 알 수 있듯이 출력된 문서, 파일로의 저장, 화면을 통한 확인 등이다.

 

보안 프로세스의 관점에서 이러한 보안의 홀을 줄이기 위해서는 개인정보로의 접근 권한과 개인정보 활용에 대한 권한의 설정이 중요하며 보안 시스템의 관점에서는 이러한 프로세스가 개인정보로의 접근을 제어 하는 시스템에 원활히 적용될 수 있어야 한다.

 

또한 개인정보를 출력한다(어떠한 형태로든)는 것은 데이터베이스 툴(오렌지, 토드 등)을 사용한다는 의미이기도 하기 때문에 데이터베이스 툴과 접근제어 시스템의 보안 연동이 무엇보다도 중요하다 할 수 있겠다.

 

궁극적으로는 개인정보를 암호화하여 저장하거나 개인정보를 은닉(마스킹 Masking)하여 화면을 통한 확인을 방지할 수 있는 시스템의 도입이 필요하다.

 

PC 등의 개인용 장비의 보안 적용은 날로 그 중요성이 더해져 가고 있는 데 위의 유출사례를 보면 해킹의 좀비로 이용된 경우가 많고 그 사례는 점점 늘고 있는 추세다.

 

기본적으로 회사의 관리 대상이 되어야 하며 바이러스 백신 등의 소프트웨어가 설치 운영되어야 하고 항상 최근의 버전으로 업데이트되어 유지되어야 한다. 회사의 규모에 따라 end to end 프로텍트 솔루션의 도입도 고려해야 한다.

 

서버, 특히 데이터베이스 서버의 보안은 그 중요성이 날로 높아져 가고 있다. 중요성을 수치로 환산해 보면 전세계 보안 시스템의 투자는 매년 20%씩 성장하여 2011년 $4억 2천만 달러의 규모에 이르렀는데 그 중의 93%가 데이터베이스 보안에 사용된 것이다.(risk and compliance outlook for 2011)

 

또한 대부분의 개인정보를 포함한 중요정보의 유출은 데이터베이스와 관련이 있으며(92%) 모든 유출 사고의 25%는 데이터베이스 서버와 관련이 있다.(verizon business study 2010)

 

즉, 데이터베이스 접근제어 시스템의 중요도가 높아져 가고 있다는 반증인 것이다.

데이터베이스 접근제어 시스템은 데이터베이스로의 접근과 데이터베이스에서의 활동 모두를 기본적으로 정책기반(Role Base)의 제어와 역할기반(Role Base)의 제어를 할 수 있어야 하며 데이터베이스 서비스 사용자의 형식에 따라 Sniffing 방식, Gateway 방식, 혼용방식(Hybrid)으로 운영 가능하여야 한다.

 

특히 데이터베이스 접근제어 시스템은 보안 시스템의 최종 라인에 위치하기 때문에 운영사의 IT 시스템과 타 보안 시스템과의 연동과 연계가 원활하여야 하며 운영사의 보안 Intelligence의 저장소 또는 센터로서의 역할을 담당할 수 있어야 한다.

 

이것은 데이터베이스 접근제어 시스템이 로깅 하는 모든 데이터는 보안 감사의 중요 증빙이 되기 때문에 그렇다.

 

마지막으로 간과할 수 없는 한 분야를 소개하며 이 글을 마치겠다.

개인정보의 유출은 명의도용, 계정 탈취, 보이스 피싱, 스팸 메일, 프라이버시 침해 등 경제적 피해뿐만 아니라 정신적 피해로 이어지게 되는 데 이러한 피해가 끊임없이 시도되고 발생하는 이유는 개인정보가 블랙마켓에서 거래되어 ‘돈’이 되기 때문에 그렇다. 그런데 지금은 개인정보뿐만 아니라 개인정보 등을 위시한 중요정보가 저장되어 있는 곳, 즉 시스템의 “취약점”이 거래되고 있다고 한다.

 

그 어느 때 보다 더 취약점에 대한 보안인 들의 관심과 대응, 취약점 분석 시스템의 활용에 대한 관심이 필요한 때이다.

 

이상으로 개인정보의 유출 사례, 법률적 책임 및 관련된 정보보호 시스템에 간략한 요건의 소개를 마친다.

 

주1) 개인정보유출 사례 1억 657만 명 http://2proo.net/1622

주2) 개인정보판례 분석_구태언 http://www.slideshare.net/Gootiee/20111117-10229107