[Security News] 개인정보 유출사고 발생했을 때···. 기업이 취해야 할 사전·사후대처 5단계

※본 글은 2021년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.

단 1명의 개인정보가 유출되더라도 반드시 정보주체에 통지해야
유출 원인 파악 및 유관기관 신고 후, 재발방지 대책 마련하도록 법으로 규정

지난 2014년, 국내 주요 카드사 3곳에서 약 1억 400만 건의 개인정보가 유출되는 사고가 발생했습니다. 조사 결과 부정사용 방지 시스템 유지보수를 담당하던 협력업체 직원이 파견근무 과정에서 보안이 허술한 틈을 타 자신의 USB에 카드사가 보유한 개인정보를 저장해 유출한 것으로 드러났습니다. 일부 관계자들은 유출은 됐지만 제3자에게 넘어가지는 않았다고 호언장담했지만, 범인이 해당 정보를 텔레마케팅 업체 등 제3자에게 팔아넘긴 사실까지 밝혀졌습니다.

[이미지=utoimage]

해당 사고는 △1억 건 이상의 정보가 유출된 초대형 사고라는 점 △이름이나 주민등록번호, 카드 번호, 유효기간 및 CVC 번호 등 민감한 정보가 유출된 점 △대형 금융사가 USB 반입 통제나 암호조치 불이행 등 최소한의 보안조치도 하지 않은 점 △이미 유출 행위는 2012년 10월부터 이뤄졌고, 사고인지 및 발표는 2014년이 돼서야 이뤄진 점 △개인정보 유출 사실을 확인할 수 있다는 공식 사이트에서조차 개인정보보호가 허술했던 점 등 셀 수도 없이 많은 이유에서 온 국민에 큰 충격을 줬고, 금융 시스템에 대한 불신을 키운 사건이었습니다. 1억 건이라는 숫자는 중복된 개인정보나 망자의 정보를 빼더라도 국민 대다수의 개인정보에 해당되는 수치이며, 특히 이 사건을 계기로 주민등록번호를 변경할 수 있는 제도까지 마련된 바 있습니다.

개인정보 유출사고는 해킹, 내부자 유출, 시스템 오류, 관리자 실수 등 다양한 이유로 끊이지 않고 발생하고 있습니다. 특히, 최근에는 이렇게 유출된 개인정보가 다크웹 등 어둠의 경로를 통해 유통되고 있는 실정이며, 해당 정보를 구매한 사이버 공격자는 공격 대상을 물색하거나 표적에 대한 정교한 공격을 위한 용도로 활용하기도 합니다.

기업 입장에서는 이러한 유출사고를 사전에 예방하는 것이 최선이지만, 완벽한 보호가 그리 쉽지만은 않습니다. 사이버공격이 날로 진화하면서 전혀 새로운 방식으로 기업 데이터베이스를 유출할 수 있으며, 한순간 나쁜 마음을 품은 내부 직원이 관리 중인 개인정보를 빼돌리거나 악용할 수도 있습니다. 이에 기업은 사고 발생 시 추가적인 피해가 생기지 않도록 대응해야 합니다.

우선 개인정보 유출사고를 정의하면, ‘개인정보처리자’가 ‘정보주체의 개인정보’에 대한 통제를 상실하거나 ‘권한이 없는 자의 접근’을 허용한 상태를 말합니다. 여기서 개인정보처리자는 회원가입을 받은 서비스 기업 등을 의미하며, 정보주체란 가입한 회원을 의미합니다. 권한이 없는 자는 사이버 공격자 혹은 개인정보 관리와 관련 없는 내부인 등입니다. 유출 형태로는 △서면, USB 등 저장장치, 개인정보가 저장된 노트북 등을 분실 및 도난당한 경우 △개인정보가 포함된 DB 등 개인정보 처리 시스템에 정상적인 권한이 없는 자가 접근한 경우 △개인정보처리자의 고의나 과실로 문서, 파일, 기타 저장장치 등을 권한이 없는 자에게 잘못 전달한 경우 △기타 권한이 없는 자에게 개인정보가 전달된 경우 등입니다.

1단계: 유출 정황 발견

개인정보보호법에서는 기업이나 기관이 유출 사고 발생 시 대응계획을 수립하고 시행하도록 규정하고 있습니다. 개인정보보호위원회가 지난해 12월 발간한 가이드라인에 따르면, 모든 직원은 유출 사실이나 유출이 의심스러운 정황이 발견되면 즉시 IT 부서 등 개인정보보호 담당자(관리자)에게 알려야 합니다. 신고를 받은 담당자는 즉시 사실여부와 확인과 함께 유출 규모나 경로 등을 파악해 개인정보보호 책임자에게 전달하고, 책임자는 CEO에게 관련 내용을 수시로 보고하며 유출이 확인되는 즉시 개인정보 유출 대응팀을 구축 및 운영해야 합니다. CEO 역시 대응팀을 중심으로 유관부서가 대응할 수 있도록 지원해야 하며, 대응 방향성을 제시하는 등 의사결정을 진행합니다. 대응팀은 사고 발생에 따른 사고 분석, 사고 처리, 사후 복구 및 재발 방지 등의 조치를 수행합니다. 개인정보보호 책임자를 중심으로 내부 조직 및 인력을 분배해 원인 분석 및 대응, 유출 신고 및 피해 당사자(정보주체)에 통지, 피해구재 등의 고객지원처럼 세분화해 대응해야 합니다.

2단계: 피해 최소화

유출 원인을 파악했으면 추가적인 피해를 막기 위해 유출 원인을 제거해야 합니다. 유출 원인이 해킹일 경우 유출된 시스템을 분리 및 차단하고, 공격자의 접근 관련 로그 등 증거자료를 확보해야 합니다. 또한, 서비스 이용자나 개인정보취급자의 ID/PW를 바꾸도록 기술적 조치를 취해야 합니다. 가령 암호화되지 않은 PW가 유출될 경우 서비스 이용자가 PW를 변경하지 않으면 로그인할 수 없도록 유도해야 하며, 암호화한 PW가 유출됐을 때도 혹시 모를 피해 예방을 위해 이용자가 비밀번호를 변경하도록 권장해야 합니다.

또한, 유출의 직·간접적인 원인을 즉시 제거하고 취약점을 개선하는 등 개선조치를 해야 합니다. 내부 인력의 전문성 부족 등으로 긴급 조치 등이 어려운 경우에는 한국인터넷진흥원에 기술지원을 요청할 수도 있습니다. 지원 내용으로는 개인정보가 유출됐을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제·변경 또는 폐쇄 조치 지원, 네트워크·방화벽 등 대·내외 시스템 보안점검 및 취약점 조치 지원, 향후 수사 등에 필요한 접속기록 등 증거 보존 조치 지원 등입니다.

내부자의 고의로 인한 유출일 경우 우선 유출자가 개인정보처리시스템에 접속한 이력과 열람 및 복사 등의 내역을 확인해야 합니다. 또한, 개인정보취급자의 시스템 접속 계정이나 권한, 기록 등을 토대로 추가 유출 여부를 확인해야 합니다. 해당 접속이 비정상적인 방법으로 이뤄졌을 경우 이러한 우회 경로를 차단해야 하며, 유출에 사용한 노트북이나 USB 메모리, 인쇄물, 이메일 등을 회수하고, 수사기관과 협조해 유출 정보 회수방안을 강구해야 합니다.

이메일 오발송으로 인한 유출의 경우 회수 기능을 사용할 수 있다면 즉시 회수하고, 불가능할 경우 잘못 발송한 수신자에게 삭제를 요청해야 합니다. 또한, 외부 첨부파일 서버를 이용해 파일을 전송했을 경우 파일서버 운영자에게 관련 파일 삭제를 요청해야 합니다.

홈페이지 게시물에 임직원 실수로 개인정보가 노출된 경우에는 해당 내용 및 첨부파일에서 개인정보 부분을 가린 뒤 게시하고, 시스템 오류로 인한 노출 역시 소스코드나 서버 설정 등을 수정해야 합니다. 만약 검색엔진을 통해 카페, 홈페이지 등에 등록된 개인정보 관련 파일이 노출된다면 해당 게시물을 직접 삭제하거나 검색 서비스 사업자에게 검색결과 삭제를 요청해야 합니다. 추가적으로 게시물 접근 권한을 제한하거나 Robots.txt 등 검색엔진 접근을 배제하는 조치도 필요합니다.

3단계: 정보주체에 통지

개인정보보호법 제34조 및 제39조의4, 신용정보법 제39조의4 등에서는 단 ‘한 명’의 개인정보가 유출되더라도 ‘개인정보처리자’, ‘정보통신서비스 제공자’, ‘신용정보회사(상거래기업 및 법인)’ 등이 정보주체에게 최대 5일 이내(정보통신서비스 제공자의 경우 24시간 이내)에 통지하도록 규정하고 있습니다. 통지 시점은 유출 사실을 인지한 시점부터이며, 피해 확산을 막기 위한 긴급조치가 필요할 경우 조치가 끝난 뒤부터 5일 이내에 알리는 것도 가능합니다. 다만, 긴급조치 후 통지하는 경우 반드시 관계기관과 사전 협의가 필요하며, 긴급조치 필요성이 인정되지 않을 경우 현행법 기준으로 3,000만 원 이하의 과태료가 부과될 수 있습니다.

[표=보안뉴스]

통지 방법은 서면, 이메일, 전화, 문자 메시지 등이며 각 법에서 규정한 유출사고 규모에 따라 홈페이지 및 사업장에도 관련 내용을 게시해야 합니다. 특히 정보통신서비스 제공자는 이용자의 연락처를 알 수 없을 경우 홈페이지에 30일 이상 해당 내용을 게시해 알려야 합니다. 홈페이지 게시물은 ‘개인정보 유출 안내’, ‘사과문’ 등의 제목을 사용해야 하며, △유출된 개인정보 항목 △유출 시점과 경위 △정보주체가 취할 수 있는 피해 최소화 조치 △개인정보 처리자 대응조치 및 피해 구제 절차 △정보주체가 피해신고 및 상담을 할 수 있는 연락처 등이 포함돼 있어야 합니다. 구체적인 내용이 확인되지 않았을 경우 통지 시점에서 확인한 내용을 우선 알리고, 추가로 확인한 내용은 확인 즉시 알려야 합니다.

4단계: 유관기관에 신고

유출 사고 발생 이후에는 정보주체에게 통지함과 동시에 유관기관에 신고해야 합니다. 개인정보보호법 제34조를 적용받는 개인정보처리자는 1,000명 이상 유출이 발생했을 경우 5일 이내에 개인정보보호위원회 및 한국인터넷진흥원에 유출 신고서 양식을 작성해 신고해야 합니다. 제39조의4를 적용받는 정보통신서비스 제공자는 1명 이상 유출이 발생했을 때 24시간 이내에 신고해야 합니다. 신용정보법 제39조의4를 적용받는 신용정보회사(상거래기업 및 법인)는 1만 명 이상 유출 시 개인정보보호위원회 및 한국인터넷진흥원에, 신용정보회사(상거래기업 및 법인을 제외한 전체)는 금융위원회에 신고해야 합니다. 신고 방법은 홈페이지, 전화(118), 팩스, 이메일, 우편 등이며, 정보주체에 통지하는 것과 마찬가지로 현재까지 확인된 사실을 우선 알리되, 추가 확인되는 내용도 즉시 신고해야 합니다.

5단계: 피해 구제 및 재발 방지

통지 및 신고 이후에는 정보주체가 자신의 개인정보 유출 여부를 확인하도록 별도 페이지를 운영해야 합니다. 또 페이지를 통한 또 다른 유출이 발생하지 않도록 보호조치를 강화해야 하며, 본인인증 수단으로 주민등록번호를 활용해서는 안 됩니다. 또한, 문의에 신속하게 대응할 수 있도록 상담 방안 내용을 정리해 운영하고, 현장 대응의 경우 혼란을 최소화하기 위한 방안도 마련해야 합니다. 이 밖에도 유출된 정보를 통해 보이스피싱 등 2차 피해가 발생할 수 있다는 사실을 알리고, 개인정보분쟁조정위원회, 손해배상제도 등도 함께 안내해야 합니다.

마지막으로 동일한 피해가 발생하지 않도록 사전에 취약점 관리 솔루션을 통해 취약점을 확인 및 제거하고, 모의 훈련을 통해 현재 대응체계를 점검 및 보완해야 합니다. 이 밖에도 홈페이지 게시물을 통한 개인정보 노출 모니터링, 관리자 페이지 접근 IP 및 계정 제한, 2차 인증을 통한 접근 등 안전조치를 마련해야 합니다.

출처 : 보안뉴스