150324 한국cpo포럼 정보침해...
TRANSCRIPT
2016. 03. 24.
테크앤로 법률사무소 구태언 대표변호사
정보침해 법정사례에서 얻은
전사정보보호문화 구현전략
테크앤로법률사무소 / 서울 서대문구 통일로 87 임광빌딩신관(EAST) 17층 / 전화 02-365-2410 / 팩스 02-360-5050 / [email protected]
목차
1. 정보보호 법제의 특수성 및 기술적 · 관리적 보호
조치의 의의
2. 각 법령상 기술적 · 관리적 보호조치의 내용
3. 정보침해 판례에서 도출한 관리적 통제항목
4. 정보보호 준법 수행 종합 대응 방안
2
1. 정보보호 법제의특수성 및 기술적 · 관리적
보호조치의 의의
3
개인정보보호 법제 체계 (1)
■ 일반법과 특별법이 공존하고, 상세한 고시를 통해 의무 부과
‘정보통신망법’(2000년), ‘신용정보법‘(1995년) 등 특별법이 시행된 이후 ‘개인정보 보호법’(2011년) 시행
• 일반법인 ‘개인정보 보호법’ 과정에서 특별법상 개인정보보호 규정 정비 미비로 인하여 중복규제 문제 발생
법령상 개인정보 처리 허용
개인정보 보호법
정보통신망법
신용정보법
제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는경우를 제외하고는 이 법에서 정하는 바에 따른다.
제5조(다른 법률과의 관계) 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. 다만, 제7장의 통신과금서비스에관하여 이 법과 「전자금융거래법」의 적용이 경합하는 때에는 이 법을 우선 적용한다.
타법과의 관계 규정이 없음따라서 개인정보 보호법에 따라 개인정보 중 신용정보의 수집, 조사, 처리, 유통, 이용, 관리부분에 관하여 개인정보 보호법보다 우선 적용됨
- 주민등록번호 등 고유식별번호 처리 허용 법령만 1500개(2015.말 기준)
- CPO는 모든 법령이 업무 범위
4
개인정보보호 법제 체계 (2)
■ 일반법과 특별법(금융/전자금융거래, 정보통신)이 공존하고, 상세한 고시체계를 통해 규율
‘개인정보의 안전성 확보조치 기준‘(개인정보 보호법), ‘개인정보의 기술적.관리적 보호조치 기준‘(정보통
신망법), ‘기술적·물리적·관리적 보안대책 마련 기준’(신용정보업감독규정) 등 고시를 통해 보안의무 상세
규정
영역공통
금융영역
개인정보보호
암호화
법 고시 규칙 기타
• 개인정보 보호법• 동법 시행령, 시행규칙
• 개인정보 안전성 확보조치기준
• 개인정보보호 인증제(PIPL)운영에 관한 규칙
• 여신전문금융업법• 동법 시행령, 시행규칙
• 금융지주회사법, 금융실명법,보험업법, 은행법
• 개인정보 보호 법령집• 개 인 정 보 보 호 인 증 제 (PIPL)점검사항(망법 PIMS와 통합 진행중)
• 암호정책수립기준 안내서• 암호 알고리즘 및 키 길이 이용안내서
• 전자금융감독 규정 시행세칙• 전산장비 이용 관련 내부 통제 모범규준
• 금융분야 주요 정보통신기반시설취약점 분석평가 기준
• 전자금융감독규정 해설• 금융 IT 보안 컴플라이언스 참조가이드
• 전자금융거래법• 동법 시행령
• 신용정보법• 동법 시행령, 시행규칙
• 전자금융 감독 규정• 금융회사 정보기술부문보호업무 모범 규준
• 신용정보업 감독 규정• 개인신용정보 관리 보호 모범규준
• 여신전문금융업 감독 규정 • 여신전문금융업 감독 규정 시행세칙
5
개인정보보호 관련 고시 (1)
■ 관리적 보호조치 관련 고시
① 개인정보의 안전성 확보조치 기준(개인정보 보호법)
② 개인정보의 기술적.관리적 보호조치 기준(정보통신망법)
③ 기술적·물리적·관리적 보안대책 마련 기준(신용정보업감독규정 별표3, 신용정보법)
④ 전자금융감독규정(전자금융거래법)
■ 현행 고시 중 ‘관리적 보호조치’는 다음 요소를 주된 내용으로 함
① 개인정보 보호 조직,
② 내부 관리계획의 수립 및 시행,
③ 개인정보취급자나 수탁자 등에 대한 교육 및 관리/감독.
수탁자에 대한 관리 및 감독 규정은 2015.12.30. 개정시 신설
6
관리적 보호조치의 중요성 (1)
■ 개인정보 보호법상 의무규정은 대부분 ‘관리적 보호조치’와 관련
특히 개인정보 처리에 관한 ‘정책’ 결정, ‘내부 관리계획’ 수립 및 시행, 수탁자 등 ‘관리/감독‘, ‘위기대응’
은 관리적 성격이 강함
• 예 : 방화벽 관련 솔루션 도입 및 관리 그 자체는 ‘기술적 보호조치‘이지만, 구체적인 ‘방화벽 정책‘이나 ‘접근통제의
범위‘ 설정은 관리적 보호조치의 성격을 겸비
처리
수집 제공(동의 징구)
이용 위탁(관리/감독)
파기(미파기죄)
기술적/관리적보호조치
분쟁
집단분쟁조정
단체소송
법정손해배상
징벌적 손해배상
유출 정보주체 통지 전문기관 신고위기대응
7
관리적 보호조치의 중요성 (2)
■ ‘관리적 보호조치’와 ‘기술적 보호조치’를 명확하게 구분하는 것은 사실상 불가능
칼로 물베기
어떠한 기술적 보호조치를 도입/유지하고, 특정 정책을 적용하며, 어떠한 방법과 시기로 관리/감독할
것인지에 관한 결정과 계획은 ‘관리적 보호조치‘ 성격 겸비
어떠한 관리적 보호조치를 IT를 통해 시행하고, 취약점을 분석.대응하며, 유출사고 등 발생시 원인을 분
석하는 것은 ‘기술적 보호조치‘와 불가분의 관계에 있음
관리적측면
기술적측면
개인정보보호조치
8
관리적 보호조치의 중요성 (3)
■ 법원은 불법행위(주의의무위반) 여부 판단시 1)법률 뿐만 아니라 2) 계약(약관) 위반도 검토
소위 A쇼핑몰 사건에서 대법원은 정보통신서비스제공자의 법률상 또는 계약상 위반 기준 제시
(대법원 2015. 2. 12. 선고 2013다43994,2013 판결)
K사의 개인정보 유출 사고 민사소송 제1심 법원 판단(서울중앙지법 2014.8.22. 선고 2012가합81628)
① 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준
② 정보통신서비스제공자의 업종·영업규모
③ 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용
④ 정보보안에 필요한 경제적 비용 및 그 효용의 정도
⑤ 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성
⑥ 정보통신서비스제공자가 수집한 개인정보의 내용과 누출로 인하여 이용자가 입게 되는 피해의 정도 등
① 원고 주장 피고는 개인정보를 안전하게 취급하기 위하여 내부관리계획을 수립․시행하여야 함에도 이러한 의
무를 다하지 아니하여 정보통신망법 제28조 제1항 제1호를 위반하였다
① 법원 판단 피고들은 이 사건 정보유출사고 이전인 2000. 12. 27.경부터 내부적으로 정보보호업무처리지침을
마련하였는데, 피고들이 정보보호업무처리지침에 따른 규정사항을 이행하지 아니한 것은 차치하더
라도 최소한 내부관리계획을 수립하여 이를 시행하였으므로, 내부관리계획수립에 관하여 위 고시
규정에서 정하는 의무를 위반하였다고 보기 어렵다
9
관리적 보호조치의 중요성 (4)
■ 보호조치 준수 여부는 개정 신용정보법 제43조의 ‘징벌적 손해배상‘시 필수 고려 사항
(2016.2.13. 시행) 정보통신망법 일부개정법률안에도 유사한 내용 있음
① 고의 또는 손해 발생의 우려를 인식한 정도
② 위반행위로 인하여 입은 피해 규모
③ 위반행위로 인하여 신용정보회사등이나 그 밖의 신용정보 이용자가 취득한 경제적 이익
④ 위반행위에 따른 벌금 및 과징금
⑤ 위반행위의 기간·횟수 등
⑥ 신용정보회사등이나 그 밖의 신용정보 이용자의 재산상태
⑦ 신용정보회사등이나 그 밖의 신용정보 이용자의 개인신용정보 분실·도난·누출 후 해당 개인신용정보
회수 노력의 정도
⑧ 신용정보회사등이나 그 밖의 신용정보 이용자의 피해구제 노력의 정도
10
관리적 보호조치 관련 리스크
■ 관리적 보호조치 위반시 민사/형사/행정/법외적 리스크 발생
최근 대규모 개인정보 유출사고의 발생으로 인하여 개인정보보호에 관한 법령과 정책이 강화
개인정보 유출 또는 오남용으로 인한 형사/행정 제재와 손해배상청구소송이 증가
개인정보 유출 사고로 인한 기업이미지 훼손 및 주가 하락 등 재정적/법외적 피해 발생
민사 책임
형사/행정 제재 관련 손해
• 개인정보보호 의식 향상에 따라손해배상청구소송 증가
• 위자료 10~20만원 인정 사례(S사의 경우20만원 인정시 총 배상액은 약 7조원)
• 법정/징벌적 손해배상 제도 도입에 따라손해배상 리스크 급증
• 개인정보 유출 사로로 인해과태료, 과징금, 형벌 상향
• 징벌적 과징금 제도 도입• 과징금 정액제정률제• CEO 징계 권고 제도로
인하여 CEO RISK로 확산• 법인 양벌 규정• 위반자 공표 제도 완화 시행
• 개인정보 유출 통지 및 언론보도를 통한 이미지 훼손
• 금융기관의 경우 제재내용에 따라 신사업 진출제한 등
개인정보유출,오남용
11
개인정보 보호 법령 보호조치 기준 비교 (1)
안전성 확보조치 기준(개인정보 보호법)
기술적.관리적보호조치 기준(정보통신망법)
기술적·물리적·관리적 보안대책 기준
(신용정보법)
전자금융감독규정
(전자금융거래법)
개인정보보호조직
CPOCPO의 지정(3조1항1호)
CPO의 R&R(3조1항2호)
CPO 자격요건, 지정(3조1항1호)
CPO의 R&R(3조1항2호)
신용정보관리.보호인(III.1.①)
정보처리시스템 및관련 전담 조직 확보(8조1항1호)
소위 5.5.7. Rule(8조2항)취급자
취급자의 R&R(3조1항2호) 취급자의 R&R(3조1항2호) 개인신용정보취급자
내부 관리계획
수립.시행
내부 관리계획의 수립, 시행(3조1항)
내부 관리계획의 수립, 시행(3조3항)
신용정보의 관리 및보호계획의 수립 및시행(III.1.①.1.4.)
정보기술부문 계획을 매년 수립·운용(19조1항)
취급자에 대한
교육, 관리
개인정보 취급자에 대한 교육(3조1항4호)
정기적 교육 실시(3조2항) 신용정보보호교육계획의 수립 및 시행(III.1.①.5.)
법규 준수 정기적점검 및 최고경영자에게 보고(8조1항4호)
수탁자관리.감독
★ 수탁자에 대한 관리및 감독(3조1항5호, 신설)
★ 수탁자에 대한 관리및 감독(3조1항5호)
업무목적으로 불가피한 경우에만 최소한 접근권한 부여(II.1.⑧)
★ 외부주문등에대한 기준(제60조)
기타
★ 개인정보의 분실·도난·누출·변조·훼손 등 발생시 대응절차 및 방법에 관한 사항(3조1항6호)
개인신용정보 오․남용에 대한 자체 제재기준을 마련(III.4)
정보처리시스템 감리 지침을 작성·운용(제22조)
12
2. 신용정보법 손해배상 기준에서 관리적 통제항목
도출 연습
13
관리적 보호조치 관련 통제항목 연습
■ 통제항목 도출 연습
① 고의 또는 손해 발생의 우려를 인식한 정도
불법적 상태임을 인식하고도 방치하였다는 증거 (예 - S포탈 서부지법 판례 ‘DBA가 로그아웃 하지 않음’)
② 위반행위로 인하여 입은 피해 규모
민감정보일수록, 2차 유출이 발생할수록, 위반상태가 오래될수록 커지므로 보다 각별한 주의의무
③ 위반행위로 인하여 신용정보회사등이나 그 밖의 신용정보 이용자가 취득한 경제적 이익
사업분야를 구분할 수 없으면 전 매출이 포함됨. 부정사용의 범위가 제한적이도록 사용 통제할 필요
④ 위반행위에 따른 벌금 및 과징금
형사처벌, 행정처분을 받으면 손해배상에 직격탄.
금융권은 금융감독제재를 수인하는 경향.
행정조사에 철저하게 대비할 필요.
형사처벌은 대상 임직원의 개인적 이해관계보다 기업의 이익 관점에서 대응
금융회사는 금융감독당국의 개인제재 우려 떄문에 금감원의 검사/검찰 조사시 회사책임으로 미루고 자기변명
⑤ 위반행위의 기간·횟수 등
반복적 점검으로 기간, 회수를 줄이는데 노력을 집중
14
관리적 보호조치 관련 통제항목 연습
■ 통제항목 도출 연습(2)
① 신용정보회사등이나 그 밖의 신용정보 이용자의 재산상태
일부러 적자를 볼 수는 없음 ㅋㅋㅋ
② 신용정보회사등이나 그 밖의 신용정보 이용자의 개인신용정보 분실·도난·누출 후 해당 개인신용정보
회수 노력의 정도
주무관서/경찰 신고, 자체조사를 통한 2차 유출 차단 등
어떻게 보면 법원이 가장 중요하게 보는 요소
사후 대처의 적정성이 책임 발생 자체를 압도
A사 유출, H캐피탈 유출, S포털 유출 vs. K통신사 유출, K, N, L카드사 유출
위기대응의 중요성. 위기대응매뉴얼. C-Level의 냉철한 판단
③ 신용정보회사등이나 그 밖의 신용정보 이용자의 피해구제 노력의 정도
신용카드정보 유출시 카드 정지, 재발행 등
역시 중요한 요소이나 우리나라에서는 상대적으로 미흡
Target사 유출시 즉시 전 피해자에게 신용카드 재발급배송
15
3. 정보침해 판례에서관리적 통제항목
도출 연습
16
사례 1 – A쇼핑몰 사례 (1)
■ 사실관계 (서울중앙지방법원 2010. 1. 14. 선고 2008다31411 판결)
중국인 해커로 추정되는 자가 4차례에 거쳐 A쇼핑몰의 데이터베이스 서버에 침입하여, 해당 서버에
저장되어 있던 A쇼핑몰 회원 약 1천만 명의 성명, 주민등록번호, 주소, 전화번호, 아이디 등 개인정보
가 유출됨
A쇼핑몰은 경찰 및 관계기관에 신고하였고, A쇼핑몰 회원들에게 유출 사고를 공지함
■ 사건 진행
제1심 : 원고 청구 전부 기각
제2심 : 항소 기각
제3심 : 상고 기각(원고 패소 확정)
17
사례 1 – A쇼핑몰 사례 (2)
■ 대법원의 판단 (대법원 2015. 2. 12. 선고 2013다43994,2013다44003(병합) 판결)
대법원은, 정보통신서비스제공자는 ① 구 「정보통신부령」 제3조의3 제1항 각호에서 정하고 있는
개인정보의 안전성 확보에 필요한 기술적•관리적 조치를 취하여야 할 법률상 의무 및 ② 안전성 확
보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담하는바, (중략) ③
「개인정보의 기술적•관리적 보호조치 기준에서 보안 조치 의무 규정하고 있으므로 정보통신서비스
제공자가 이 사건 고시에서 정하고 있는 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신
서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의
무를 위반하였다고 보기는 어렵다고 판시
정보통신서비스제공자의 법률상 또는 계약상 의무를 위반하였는지 여부를 판단하는 고려사항 판시
• ① 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준
• ② 정보통신서비스제공자의 업종•영업규모
• ③ 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용
• ④ 정보보안에 필요한 경제적 비용 및 그 효용의 정도 (전자금융감독규정 제8조 5·5·7 조항)
• ⑤ 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성
• ⑥ 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의
정도 등
법에 정해진 것만 준수하는 것을 넘어, (판례에 시사된) 계약상 의무 또한 준수하는 것이 매우 중요
18
사례 1 – A쇼핑몰 사례 (3)
■ 관리적 통제항목 도출
대법원은 개인정보 침해 사고 시점을 기준으로 법령상 규정된 기술적•관리적 보호조치 의무 및 계약
상 의무 위반 여부를 판단하고, 고시에서 정한 조치를 준수하였다면, 법령상/계약상 의무 위반을 인정
할 수 없다고 판시하였는바,
법령과 고시에서 정한 조치를 준수한 기업에 대해 책임을 묻지 않음으로써,
(1) 기업의 예측 가능성을 확보하고, (2) 기업으로 하여금 기술적/관리적 보호조치를 충실히 이해할 동인을 제공
한 것으로 평가
• 기업으로서는 보안법률을 잘 준수하면 민사책임이 면책될 수 있으므로 정보보안에 투자할 필요성과 당위성
확보
• 개인정보 보유업체의 법무팀, 컴플라이언스팀, 정보보호팀의 협업 중요
기업들이 고시에서 요구하는 기준만 준수한다는 비판이 제기되자,
방통위는 2015. 5. 19. ‘개인정보의 기술적·관리적 보호조치 기준’를 개정하여 제1조 제2항에서 자율규제 원칙을
천명
- 제1조(목적) ② 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는
개인정보 보호조치 기준을 수립하여 시행하여야 한다.
- 각 사의 업계 통상 수준에 맞춰 보호계획 수립 및 체계적인 관리/감독 강화할 필요
행정자치부는 고시 개정 작업중
19
사례 2 – N포털사 사례 (1)
■ 사실관계
성명 불상 해커가 공개용 알집이 광고 콘텐츠 서버로부터 광고 내용을 불러와서 이를 실행하는 역할
을 하는 ALAD.DLL과 동일한 이름의 악성 프로그램인 ALAD.DLL 파일을 제작
S사 DB기술팀 직원의 컴퓨터에 윈도우 예약작업을 이용하여, 미리 설정해놓은 임의의 도메인인
‘NATEON.DUAMLIVE.COM’에 역접속을 시도하는 기능을 가진 악성프로그램인 ‘NATEON.EXE’를 유
포
이를 이용하여 중국 내 불상지에서 자신의 컴퓨터로 S사 DB기술팀 직원의 컴퓨터에 원격접속하여 S
사 정보통신망에 침입하여 회원정보를 유출
이 사건 해킹사고로 인해 회원 중 약 3,500만명의 개인정보가 유출, S사는 사건 직후 이 사건 해킹사
고를 경찰과 방송통신위원회에 신고, 회원들에게 개인정보 유출 사실 공지
경찰은 이 사건 해커에 대해서만 기소중지 의견으로 검찰에 사건을 송치한 바 있으나,
이 사건의 피해자들은 손해배상 책임이 있음을 주장하면서, S사 등을 상대로 손해배상 소송을 제기
원고들은 웹 방화벽을 하지 않았다는 것을 주장하였으나, 법률에 없다는 이유로 계약상 의무를 인정
하지 않음
20
사례 2 – N포털사 사례 (2)
■ 법원의 판단(서울서부지방법원 등 일부 하급심 판결)
대용량 개인정보의 유출 탐지(DB TRAFFIC 모니터링) 실패 - (K 통신사 사건에서도 불법행위)
공개프로그램을 사용
FTP 서비스를 제공
보안관리자가 로그아웃 하지 않고 IDLE TIME이나 CONNECT TIME 미설정 – (고지사항으로 추가됨)
암호화 여부는 손해배상책임 여부에 큰 영향 없음
■ 사건 진행 경과
제1심 : 원고 청구 일부 인용(1인당 20만원)
제2심 : 위 1심 판결 취소, 원고 청구 전부 기각 선고.
현재 상고심 계속 중
21
사례 2 – N포털사 사례 (3)
■ 관리적 통제항목 도출
해당 법원은 법령에서 명시적으로 요청하지 않고 있는 ‘대용량 데이터의 모니터링 의무, 로그아웃 할
의무’등 보다 높은 주의의무를 정보통신서비스 제공자에게 부과하였음
법에 정해진 의무사항을 넘어서 법원이 주의의무 위반기준 선언
상급심 및 다른 사건에서 일부 받아들여지고 있음
예) K통신사 1심 – ‘불법접근 탐지 의무‘ , A쇼핑몰 3심 – ‘모니터링 의무‘ 인정
2015. 5. 19. 개정 ‘개인정보의 기술적·관리적 보호조치 기준’은 제1조 제2항에서 조치의무 확장
• 제1조(목적) ① 이 기준은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "법"이라 한다) 제28조제1
항 및 같은 법 시행령 제15조제6항에 따라 정보통신서비스 제공자등(법 제67조에 따라 준용되는 자를 포함한다.
이하 같다)이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조·훼손 등이 되지 아니하도록
안전성을 확보하기 위하여 취하여야 하는 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한
다.
• 수탁자를 규율대상으로 명시 -> 수탁자에게 법령준수를 요구할 근거
• 최소한의 기준 -> 법원에게 이 고시에 국한하여 판단하지 말 것을 요구
• ② 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호
조치 기준을 수립하여 시행하여야 한다.
• 조치의무 확장 내지 개방적 조치의무 도입
22
사례 3 – K이통사 사례 (1)
■ 사실관계 (서울중앙지방법원 2014. 8. 22. 선고 2012가합81628 판결, 항소심 진행 중)
컴퓨터 프로그래머인 최OO은 황OO의 제안을 받아들여 이 사건 해킹프로그램을 제작함
최OO는 2012. 2. 20.경 황OO을 통해 피고의 VPN을 이용할 수 있는 피고의 대리점PC에 설치된
원격제어프로그램의 ID와 비밀번호를 받은 후 위 대리점 PC에 원격으로 프로그램을 설치한 다음
이를 실행하여 2012. 7. 13.경까지 고객정보 8,730,435건(중복 제거시 8,129,090건)을 최OO의
서버에 전송하여 오라클 DB에 저장하는 등 여러 차례에 걸쳐 이 사건 정보유출 및 제공이 발생
함
23
사례 3 – K이통사 사례 (2)
■ 법원의 판단 (서울중앙지방법원 2014. 8. 22. 선고 2012가합81628 판결, 항소심 진행 중)
원고 주장 :
피고는
• ① VPN, 비밀번호 관련하여 고시 제4조 제4항 및 제7항의 비밀번호 작성규칙을 위반하였고,
• ② 접근통제시스템 관련해서는, 피고의 접근통제시스템이 불완전하여 고시 제4조 제5항을 위반
하고, 퇴직자의 ID가 사용되어 고시 제4조 제2항, 제5항, 내부정보보호업무처리지침 위반하였고,
• ③ 전송구간 암호화를 하지 않거나 암호화키를 소홀히 하는등, 암호화에 관한 기술적·관리적 보
호조치를 다하지 못했으며,
• ④ 내부관리계획의 시행 관련하여 피고는 개인정보를 안전하게 취급하기 위하여 내부관리계획
을 수립/시행하여야 함에도
이러한 의무를 다하지 아니하여 정보통신망법 제28조 제1항 제1호를 위반함
24
사례 3 – K이통사 사례 (2)
■ 법원의 판단 (서울중앙지방법원 2014. 8. 22. 선고 2012가합81628 판결, 항소심 진행 중)
1심 판단 :
• 적법
• ① VPN에 접속을 하는 과정에도 위 고시가 적용되나 피고의 인증절차를 전체적으로 보면
VPN의 접속 단계에서 ID와 비밀번호만을 요구하는 것이 위 고시 규정을 위반한 것은 아니
며,
• ② 피고는 개인정보처리시스템에 보다 근접한 접속 창구에 비밀번호 작성규칙을 수립하여
이를 운영/관리하고 있었고
• ③ 내부관리계획을 수립하여 이를 시행.
• 불법
• ⑤ 피고는 퇴직한 자의 XX 시스템에 접근할 수 있는 권한을 변경 또는 말소하지 아니하여 이
사건 고시 제4조 제2항을 위반하였음. 그러므로 이 사건 고시 제6조 및 내부정보보호업무처
리지침을 위반함
• ⑥ 피고는 전송구간 암호화를 하지 않거나 암호화키를 소홀히 관리하는 등 이 사건 고시에서
요구하는 암호화에 관한 기술적/관리적 보호조치를 다하지 못함.
• ⑦ 피고는 비정상적인 접근을 탐지/차단하지 못하였는바, 이 사건 고시 제5조 제1항을 위반
25
사례 3 – K이통사 사례 (3)
■ 관리적 통제항목 도출
본 사건 재판부 역시 ‘기술적/관리적 보호조치 기준’ 고시를 중심으로 의무 위반 여부를 검토
재판부가 인정한 위법 요소를 살펴보면,
퇴직자 계정 관리, 불법 접근 탐지 여부, 전송구간 암호화 도입 여부, 키관리 적정성
평소 관리를 철저히 했다면 회피할 수 있었다고 본 것
최소한 고시에서 요구하고 있는 사항들은 철저히 실행함이 중요. 특히, 법령과 고시 외에 “내부관리
계획”도 위법의 판단근거로 쟁점화
적절한 내부관리 계획 - 과유불급
• 이행가능성이 낮은 ‘선언적’ 내부 지침은 유출사고 등 발생시 ‘책임의 근거’가 될 수 있으므로 주의
평소 전사적으로 정보보안 관련 정책∙지침∙절차의 준수 문화가 중요
시스템 개발시 용역업체에게 책임을 미룰 수 없음
전사 현업 임원, 직원들의 ‘보안 습관’ 문화 형성이 중요
26
사례 4 – 카드 3사 사례 (1)
■ 사실관계 (2016. 2. 5.자 서울중앙지방법원 판결)
카드 3사에 FDS 개발용역 중이던 개발사 PM 박씨는 자신의 업무용 PC 2대에 보안프로그램을 설치하지 않고, 이
를 은폐하여 개발용 네트워크에 몰래 접속, 고객 개인정보를 다운로드 받은 후, 보조저장매체에 담아서 유출함 (L
사)
또 다른 카드사에서는, 실제 테스트용으로 필요한 고객 개인정보를 저장매체를 통해 옮겨 달라고 요청하였고, 카
드사는 고객 개인정보를 하드디스크(HDD)에 담아서 박씨에게 전달함 (K사, N사)
27
사례 4 – 카드 3사 사례 (2)
■ 법원의 판단
1심 판단 :
• (정보통신망법의 적용 여부) 카드사는 인터넷 홈페이지를 통하여도 카드회원을 모집하
고, 정보통신망을 이용하여 회원들에게 각종 서비스 제공한다는 점에서 ‘정보통신서비
스 제공자’에 해당. 정보통신망법상 개인정보 보호에 관한 규정들이 적용됨
• (개인정보 안전성 확보 조치 기준 제9조 위반 여부) 개인정보처리자는 보안프로그램을
통하여 업무용 컴퓨터에 USB 등을 연결하여 사용할 수 없도록 제한하고, 나아가 그 기
능이 실질적으로 작동하고 있는지 관리·감독하는 조치를 수반하여야 함. 그럼에도 카드
사는 USB 쓰기 제한하는 보안프로그램을 설치하지 않았거나 그 관리·감독을 소홀
• (암호화되지 않은 카드 고객 정보 제공과 관련한 규정 위반 여부) 암호화하지 않은 고
유식별번호가 포함된 정보를 보조저장매체에 저장한 후 제공하여 업무에 사용하도록
하고, 관리·감독을 하지 않고 방치함으로써 고객정보 유출 가능성을 증대시킴
• (구 전자금융감독규정 제13조 위반 여부) 전산자료 보호대책(단말기의 공유 등 금지)에
도 불구하고, 작업현장에서 모니터링용 컴퓨터(개발서버 및 운영서버에 접속할 수 있는
컴퓨터)로 카드사의 직원이 접속하여 자료를 받아 주면, 개발사 직원들이 접속해서 다
운로드된 자료를 작업 중인 컴퓨터에 복사 및 공유하여 처리함. 개발사 직원들의 공유
폴더 설정, 업무용 컴퓨터 이용시 접근권한 제한 조치 등을 취하지 아니함
28
사례 4 – 카드 3사 사례 (3)
■ 관리적 통제항목 도출
판결의 주요 시사점
• 신용카드업을 주된 업무로 하는 카드사와 고객 간의 관계에 정보통신망법이 적용
- 이 판시가 대법원에서 확정되면 업종을 불문하고 개인정보보호법, 정보통신망법, 신용정보보호법
등 3종 세트 적용 완성
• 통제항목 도출(금융회사 기준)
(1) 개인정보처리 위·수탁시, 수탁사의 안전성 확보조치 의무에 대하여 문서화
(2) 개발수탁사에게 개인정보 전달시 고유식별정보를 암호화
(3) 테스트 목적으로 이용자의 실제 개인정보를 사용하면서, 이를 변환하여 사용하거나, 테스트 종료
시 즉시 파기
(4) 안전성 조치에 따른 접근통제가 미비한 점
(5) 수탁사가 지침을 준수하고 있는지 실제로 관리·감독하는 조치를 수반하여야 함에도 관리·감독의무
를 다하지 않은 점
29
4. 정보보호 문화를 어떻게높일까
30
CPO조직의 통제적 역할
보안 법률적 관점의 내부 시스템 - 기록관리
CPO 조직
클라우드시스템
[ 정보보안법령]
체크리스트
통합준법수행검토
[현업의관리적조치예]
체크리스트
체크리스트
체크리스트
체크리스트
규제 A
규제 B
규제 C
규제 D
규제 E
규제 A
규제 B
규제 C
규제 D
규제 E
자료제공시스템
규제기록
규제기록
규제기록
규제기록
규제기록
통제항목도출 Alpha CPO 규제준수 / 기록
31
현업과 수탁사가 명확한 관리체계 인식해야
법령준수 관점의정보보호관리체계내재화
법령의요구사항이일선조직에분담되도록정책∙지침정비
업무절차는구체적인업무수행이가능하도록현업의 Q&A를 토대로작성
32
결국 실행이 중요
법령준수 관점의정보보호관리체계구축
개인정보기술적/관리적보호대책
개인정보유출
현장방어
개인정보오남용
자가예방
정보보안은
현업이
스스로
전사현업의보안인력화
“왜우리가정보보안을하느냐? 정보보안은정보보안팀의업무다. 입사후
제대로교육받은적없고내 일이라고생각하지않는다”
임원 –개인정보보호적관점의 Mission을상시적으로직원에게부여직원 –수시로변화하는개인정보법령을숙지하는자세확보
• 관련법규정상요구되는항목의일상적점검시스템제공
• 업무처리과정상부지불식중에존재하는불법적관행진단능력배양
• 정보보안관련신상필벌시스템도입
개인정보처리시스템의적법성확보
전략-정책-규정-지침-절차-서식의검토
33
전사적 정보보안 문화 없이는 대규모 손해배상
판례에서 찾은 사내 설득 포인트
판례가 요구하는 수준은 어마무시 - 회사의 규모에 맞는 정보보호조직을 구성할 것
CPO의 권한을 확대하고, 경영진으로부터 독립적 업무 수행이 가능하도록 조직을구성하는 것은 언제쯤?
법률에 없어도 법적 책임 생겨요!
정보보호조치를 준수하는 회사라는 이미지 구축
1)정보보호위원회의 정기적 운영, 2)보안, 법률전문가에 의한 정기적 감사보고서 작성 및경영진 보고, 3)모의훈련을 통한 대비태세 점검, 4)정보보호교육의 정례화 등
정보보호조치를 위한 현업의 역량을 강화해야 유사시 책임지는 자세 확보
임원급의 인식 혁신이 중요
평소 모든 업무처리시 정보보호 점검 당부하도록 한마디!
CEO가 임원회의때 한마디!
발로 뛰는 정보보안조직의 모습을 보여야 상생 가능
방해하는 조직이란 인식을 불식시켜야
문제를 해결하는 솔루션 제시
34
CPO의 중요성
- CPO는 Multi-player 및 Multi-lingual Officer
• 정보보안 관련 기술적 지식과 언어 외에 법률적 지식과 언어를습득하고, 이를 바탕으로 CEO에게 보안의 필요성을 경영적 언어로전달∙설득
• 법령의 제∙개정 현황, 주무부처 정책의 변화, 최신 판례의 취지 등에대한 상시적인 분석과 현업에 통제항목 개발 보급
• 답답하면 직접 CEO가 되셔서…. 미래의 CEO의 필수 역량
35
감사합니다