Copyright ⓒ 2014 Yulchon LLC. All Rights Reserved.

개인정보유출 사례로 본

개인정보의 보호

이재욱 미국변호사

2014. 3. 19.

1. 국내 정보유출 사례

2. 정보유출과 기업의 책임

3. 해외 정보유출 사례

4. 사례로 본 정보유출에 대한 대응

목 차

3

7

12

21

국내 정보유출 사례

카드사 정보유출

4 4

※ 출처: SBS TV Morning WIDE (2014. 1. 9)

의사협회 등 개인정보 유출

5

※ 출처: 채널A (2014. 2. 27)

총 1천 700만건

카드결제기 개인정보 유출

6

총 1천 200만건

※ 출처: 뉴스와이 (2014. 3. 5)

사태 이후 변화

8

3개 카드사 사고

경영진 교체

3개월 영업정지

개인정보유출 사고

기업의 최대 Risk

‘IT사고’_기업의 최대 Risk

개인정보

유출사고 발생社 과태료

시정조치

(경고∙주의) 무징계

총 58개 13개

(총액9,439만원) 14개 31개

의사 협회

(2009년~ 2013년 금융권 제재 통계)

LG전자

30~70만원 원고 패소 20만원

SK컴즈 (3,500만)

SC제일/

씨티은행

옥션(1,080만)

GS칼텍스(1,100만)

SC제일 행장 교체

씨티

9

CEO 또는 임원 징계 권고 (개인정보보호법 개정)

매출액 1% 이하 과징금 부과 (정보통싞망법 개정안 입법예고)

금융회사 정보관리 및 CEO 책임 강화 (금융회사 고객정보 유출 재발방지 대책 ’14.1月 )

5.5.7 규정 (전자금융감독규정) ’11.10月

CEO 확인 및 서명 (전자금융거래법 개정) ’13.05月

’13.08月

’13.11月

’14.01月

금융전산 내부통제 및 CEO 책임 강화 (금융전산 보안강화 종합대책) ’13.07月

금융회사 및 CEO 책임 강화 (금융붂야 개인정보 유출 재발방지 종합대책 ’14.1月 ) ’14.03月

규제의 강화

10

금융회사의 정보수집 최소화 및 보관기갂 5년으로 단축 1

주민등록번호 최초 거래시에만 수집 및 암호화 보관 2

정보 제공 시 필수사항에 대한 동의만으로 계약 체결되도록 전면 개편 3 금융회사의 개인정보 이용․제공 현황을 조회하고, 영업목적 전화에 대한 수신

거부(Do-not-Call) 등록 등을 위한 시스템 구축 4

임원 등의 정보보호․보안관련 책임 및 금전적․물리적 제재 대폭 강화 5

금융전산 보안전담기구 설치 등을 통해 금융회사의 보안통제 강화 6

정보유출시 대응 매뉴얼(Contingency Plan)마련 및 비상 대응체계 구축 7

규제의 강화 2014. 3. 10. 금융위원회, 금융분야 개인정보 유출 재발방지 종합대책

집단소송의 대형화

11

판결일자 사건명 원고수 유출건수 법률적 쟁점 인정된

위자료

2007.1.26. 엔씨

소프트 5명 54만명 유출되지 않고 유출의 위험에 처한 이용자의 손해배상도 인정 10만원

2007.11.27. 국민

은행 1026명 32,277명

은행이 서비스이용자들에게 이메일을 발송하는 과정에서 실수로

이용자들의 성명, 주민등록번호, 이메일 주소 등 개인정보를

수록한 텍스트 파일을 첨부한 사안

-20만원

(주민등록번호 유출)

-10만원

(주민등록번호 유출

안 됨)

2008.11.25. LG

전자

259명

3,000여명

-LG 전자가 당시의 기술 수준에 비추어 보더라도 보관중인

개인정보의 분실, 도난, 누출 등 방지에 필요한 보안조치를

강구하여야 할 주의의무를 위반

-유출될 가능성만으로는 손해배상 인정하지 않음

30만원

2012.12.26. GS

칼텍스 약 4만명 1,125만명

모두 압수, 임의제출되었거나 폐기되었다는 점에서 개인정보

유출로 인하여 위자료로 배상할 만한 정싞적 손해가 발생하였다고

보기 어렵다고 판단

기각

2013.5.2.

이베이

코리아,

인포섹

약 14만명 1,860만명

중국 해커가 4차례에 걸쳐 옥션의 웹서버 중 하나에 침입하여

피해자들의 이름, 주민등록번호, 주소, 전화번호, 아이디,

계좌번호 등 개인정보를 자사 컴퓨터로 내려받아 전체 회원의

개인정보가 유출된 사안에서 옥션 측의 귀책사유를 인정하지 않은

사안

기각

2014.1.9 카드3사 약 10만명 1억4백만명

외부전산인원이 카드3사사 소유하고 있는 고객의 이름,

주민등록번호, 주소, 전화번호, 싞용카드 정보 등을

외장하드디스크로 내려받아 유출한 건

소송 중

출처: 2014. 2. 16. 김기식 의원 보도자료

해외 정보유출 사례

주요국 개인정보보호법제 동향

13

국가 법률 특징

EU • General Data Protection

Regulation

• ‘개인정보의 처리와 관련된 개인의 보호’에만 두지 않고 ‘개인정보의 자유로욲 이동’도 중요한 목표

미국 • Privacy Act • 연방 차원에서 프라이버시 보호 이전의 개인정보 그 자체를 보호의 대상으로 삼는 법을 특별히 제정하고 있지는 않음

일본

• 행정기관이 보유한 개인정보의 보호에 관한 법률

• 개인정보의 보호에 관한

법률

• 개인정보의 보호에 관한 법률은 원칙적인 기준과 추진체계만을 규정

미-EU • Safe Harbor

• 미국 상무성의 세이프 하버에 등록하고 이를 준수하는 기업들은

EU에서 미국으로 전송되는 PII를 위한 적절한 보호 조치를 취한

것으로 갂주

한국의 경우 • 세이브하버를 적용할 수 있을까?

• 빅데이터, 클라우드 컴퓨팅을 적극적으로 이용할 수 있을까?

세계 각국 사이버 보안 비상

14

※ 출처: 세계일보 (2014. 2. 16.)

Google Street View

15

※ 출처: 이데일리 (2014. 1. 28.)

한국 방송통신위원회 종결

2억1230만원 과징금부과

및 무단으로 수집한 모든

개인정보를 삭제하되 이

과정을 방통위가 확인할 수

있도록 시정조치

Global Issue로의 발전가능성

세계 개인정보 유출사고 순위

16 ※ 자료: www.datalossdb.org

세계 개인정보

유출사고 순위 (2014.2.13 현재)

서울중앙지검 발표, 북한 해커를 통한 유출

152,000,000

150,000,000

140,000,000

130,000,000

110,000,000

104,000,000

94,000,000

90,000,000

77,000,000

Records

Target

17

Target 2013. 12. 15.

1억 4천건

Heartland Payment Systems

18

Heartland

Payment

Systems 2007. 10.

130 million

Stock share:

44.05 USD now

TJX

19

• the cost for this breach could be as high as USD 1.6 billion.

• Each customer record was assumed to cost TJX USD 5 to

service. 20 percent of those whose data was breached will

request a credit watch, resulting in a total bill of USD 1.24

billion.

• legal advice (USD 12 million per year), public relations

(USD 3.4 million), internal investigations (USD 8.1 million)

and regulatory fines (USD 1.5 million).

• Class-action lawsuits: Massachusetts Bankers Association

(MBA), which represented the banks which had incurred

loss allegedly in connection with the TJX data breach. The

parties eventually settled for USD 41 million.

※ 출처: Lexology (2012. 11. 12.)

TJX

2007.

94 million

Sony

20

• Sony reported an estimated outlay of $171M for insurance,

customer support, and rebuilding their user management

and security systems.

• UK Authorities: $400,000 fine

• Sony’s stock price has dropped from $30 to $13.

※ 출처: Stormpath (2013. 1. 25.)

Sony

2011.

77 million

정보유출 대응

What To Do After A Security Breach

22

참고: What to do after a security breach, cio insight, 2014. 3. 5.

Preparation and practice make perfect 1 Don’t panic 2 Move quickly but stay patient 3 Don’t go it alone 4 Assemble the right team 5 Get legal advice 6 Someone needs to talk 7 Identify lessons learned 8

23

Q & A