HIGHLY CONFIDENTIAL

2015. 4.

K&C 수행 개인정보 사건 최근 판결들의 시사점

(옥션 및 SK컴즈 사건을 중심으로)

CONTENTS

I. 개관

II. 사건 개요

III. 주요 쟁점

IV. 시사점

I. 개관

4

대표적인 개인정보 유출사건

2011. 4

1800만건 해킹

1125만건 유출

175만건 해킹

1320만건 해킹

870만건 해킹

3500만건 해킹

전산망 해킹

2008. 1 2008. 9 2011. 8 2011. 11 2012. 7 2012. 12

220만건 유출

2014. 1

1억 400만건 유출

13만건 유출

2013. 12

II. 사건 개요

6

옥션 사건 해킹경로 (추정)

인터넷 **서버 (경유지)

해커 웹서버 DB서버

고객정보 반출

7

공격자

SK컴즈 사건 해킹경로 (추정)

회원 데이터베이스

악성코드 감염 PC

DB 관리자 PC

** 서버 경유지로 악용됨

중국

공격자 PC

인터넷

고객정보 반출

고객정보 반출

III. 주요 쟁점

9

1. 기술적, 관리적 보호조치 준수한 경우의 법적 책임

2. 대용량 유출 모니터링

기술적, 관리적

보호조치 준수한

경우의 법적 책임

주요 쟁점

1

대용량 유출

모니터링

2 웹방화벽

미설치가

과실인가?

3

공개용(개인용)

프로그램을

사용하였으면

해킹에 대하여 책임?

4

로그아웃

5

일반적인

Tool 사용

6

1. 기술적∙관리적 보호조치 준수한 경우의 법적 책임

11

1. 기술적∙관리적 보호조치 준수한 경우의 법적 책임

정보통신망법 제28조 제1항

정보통신서비스제공자등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난 · 누출 · 변조 또는

훼손되지 아니하도록 대통령령이 정하는 바에 따라 안전성 확보에 필요한 기술적 · 관리적 조치를 하여야 한다.

정보통신망법 제28조에 기한 손해배상 청구 기각

본 사건들에서, 관련 법령상 요구되는 제반 보호조치를 모두 준수하였음

원칙적으로, 법령이 요구하는 기술적∙관리적 보호조치 기준을 모두

준수한 경우 회사에게 법적 책임을 물을 수 없음

12

1. 기술적∙관리적 보호조치 준수한 경우의 법적 책임

회사가 이행한 보호조치

제3조 접근통제

• 개인정보처리시스템에 대한

접근권한의 관리

• 침입차단/탐지시스템 설치

• 패스워드 관리

• PC 보안

제2조 개인정보관리계획의

수립 및 시행

• 개인정보보호조직의 구성

• 개인정보취급자의 교육

• 제3조 내지 제7조에 관한

세부사항

제4조 접속기록의

위ㆍ변조방지

• 접속기록 관리

• 접속기록 백업

제5조 개인정보의

암호화

• 패스워드 암호화

• 송수신시 암호화

제6조 컴퓨터바이러스

방지

• 백신S/W 설치,업데이트

제7조 출력ㆍ복사시

보호조치

방송통신위원회 고시상의 보호조치 이행

13

1. 기술적, 관리적 보호조치 준수한 경우의 법적 책임

옥션 사건 대법원 판결

2. 대용량 유출 모니터링

15

…

…

…

DB서버

쿼리 요청 • 초당 10Gb 트래픽 처리

• 하루 1억 이상의 페이지 뷰

• 쿼리를 초당 10,000번 이상 처리

2. 대용량 유출 모니터링

데이터 조회 쿼리 요청

결과값 조회

예약 작업,

명령어 그룹 수행

웹서버 DB서버 DATABASE

…

…

…

웹서버

쿼리 요청

결과값 DATABASE

Query 미탐지 관련

16

2. 대용량 유출 모니터링

특정 쿼리의 성격을 시간 및 내용 등으로 분석하여 실시간으로 구분하는 탐지는

기술적으로 불가능

해킹사고 당시 옥션이 구축한 모니터링 조치

• 사전에 정의된 일정한 비정상 쿼리를 SMS/이메일로 통지하는 시스템

• DB서버 부하에 대하여 24시간 모니터링 시스템 운용

• 특정 웹서버, 특정 시간대, 특정 쿼리의 내용을 실시간으로 분석하여 다른 쿼리들과

구분하는 것은 기술적으로 불가능에 가까움

• 대량의 개인정보 결과값을, DB의 입장에서 일반적으로 이상징후라고 볼 수 없음

Query 미탐지 관련

17

즉 DLP는 이 사건 고시가 요구하고 있는 설비가 아님

2. 대용량 유출 모니터링

개인정보의 기술적·관리적 보호조치 기준 제4조 제5항

⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고

방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

1호

2호

침입차단시스템 (FW)을 의미

침입탐지시스템 (IDS)을 의미

침입차단시스템과 침입탐지시스템만을 필수 시스템으로 규정하고 있음

18

‘암호화된 개인정보’가 유출되는 것을 탐지할 수 있는 DLP 솔루션은 존재하지 않음

2. 대용량 유출 모니터링

• 당시 SK컴즈가 사용하던 DLP 솔루션 역시, 암호화되어 있던 주민등록번호의 유출을

탐지할 수 없었음

DLP 미설치의 점 및 제대로 활용하지 않았다는 점만으로 기술적, 관리적

보호조치를 위반한 것으로 볼 수 없음

DLP로 개인정보 유출을 탐지할 수 없었음

3. 웹 방화벽 미설치가 과실인가?

20

3. 웹 방화벽 미설치 관련

웹 어플리케이션 서버 웹 방화벽 방화벽

• 인터넷을 기반으로 하는 대다수의 전자상거래업체, 포털업체, 전자금융업체 등도

같은 사정임

2008년 1월만 해도 웹방화벽이 보편적 tool 이 아니었고, 당시의 웹방화벽은 사용시

웹서버에 과도한 트래픽이 발생하였으므로, 대규모의 인터넷 트래픽을 처리해야 하는

옥션 서비스의 특성상 도입이 어려웠음

21

3. 웹 방화벽 미설치 관련

• 웹 방화벽 역시, 공격 유형들에 대한 다양한 정책을 만들고 이를 통하여 유해

트래픽을 차단하는 것이므로, 예상하지 못한 유해 트래픽이 오는 경우에는

차단하기 어려움

• 옥션이 해킹 사고 당시 웹서버에 웹 방화벽을 설치하지 않았다고 하더라도

옥션에게 주의의무 위반이 있다고 할 수 없음

웹방화벽은 여러 보안조치 중 선택 가능한 하나의 조치에 불과

22

3. 웹 방화벽 미설치 관련

옥션은 웹방화벽을 대신하는 보다 근본적인 보호조치를 운용

• WhiteHat 스캐너(서버의 취약점을 점검하는 도구)를 통한 웹 취약점 점검 및 제거

• 서버 운영체제에 대한 보안 프로그램의 지속적인 업데이트

• 침입탐지시스템의 운영과 관제시스템을 통한 24시간 감시

4. 공개용(개인용) 프로그램을 사용하였으면 해킹에 대하여 책임?

24

4. 공개용 알집

기업용 알집보다 보안에 취약한 공개용 알집을 사용함으로써

해킹사고가 발생?

해커가 알집 업데이트 서버를 장악했던 이상,

해커가 목표로 한 PC가 기업용 알집을 사용했든 공개용 알집을 사용했든 간에

아무런 차이가 없음

① 기업용 알집과 공개용 알집 모두 동일한 업데이트 서버에 접속하며,

업데이트 방식과 주기가 동일함

② 문제된 Alad.dll 파일은 공개용 알집과 기업용 알집에 모두 포함되어 있었음

25

4. 공개용 알집

두 제품에 동일하게, 새 버전이 존재하는지 여부를 스스로 확인하는 기능이 포함되어 있음

(파일명 ALUpdate.dll)

• 두 제품에서 각각 해당 기능을 수행하는 파일이 있고 두 파일은 완전히 동일함

두 제품이 새 버전 존재 여부를 확인하는 주기 역시 동일함

(레지스트리에 저장한 LastALUpdateRun 값을 확인하여 매일 접속)

• 1일 1회 알툴즈 업데이트 서버에 접속하여 새 버전을 확인하며,

알집 프로그램을 실행하지 않는 날에는 업데이트 서버에 접속하지 않음

두 제품이 접속하는 업데이트 서버 역시 동일함

• 업데이트 서버를 장악한 해커로서는

기업용 알집과 공개용 알집 두 제품의 업데이트를 조작할 수 있었음

5. 로그아웃 관련

27

5. 로그아웃 관련

① DB 서버 관리자의 로그아웃은 법령상 의무가 아님

• SK컴즈의 과실이 인정되기 위해서는 원칙적으로 법령에 열거된 기술적·관리적

보호조치에 구체적으로 규정된 주의의무위반 사실이 인정되어야 하고,

법령에 구체적으로 열거되지 않은 주의의무를 인정하려면, 최소한 해킹사고 발생 당시

동종 사업자들이 보편적으로 사용하는 개인정보 보호조치로서 법령에 정해진 의무와

동등한 정도의 의미를 가지는 것이어야 함

DB 서버 관리자가 로그아웃을 하지 않았기 때문에 본건 해킹이

발생하였다?

28

5. 로그아웃 관련

② 해커는 DB 관리자의 ID, PW를 이미 파악하여 DB 서버에 접속하였으므로,

해커의 접속은 로그아웃 여부와 인과관계 없음

• DB 관리자가 DB 서버에 접속하여 업무를 수행한 후 로그아웃을 하였다고

하더라도,

이미 악성코드를 이용하여 DB 관리자의 각 단계별 ID와 PW를 파악하여 알고 있는

이 사건 해커는 그 ID와 PW를 이용하여 다시 DB 서버에 접속할 수 있었음

• PC에 심어둔 악성 파일을 이용하여 해커는 DB 관리자의 ID와 PW를 파악한 것으로

추정됨

6. 일반적인 Tool 사용

30

6. 일반적인 Tool 사용(FTP, DTS)

FTP나 DTS를 사용하지 못하도록 막아 두었어야 하는데, 이를

막지 않았으므로 과실이 있다?

FTP(File Transfer Protocol)은 인터넷 기반의 일반 PC의 OS에서 제공되는

일반적인 tool

DTS(Data Transformation Service) 역시 MS SQL 서버에서 데이터 관리, 추출 및

전송작업을 하는 데에 보편적으로 사용되는 tool

31

6. 일반적인 Tool 사용(FTP, DTS)

DBMS에서 DTS를 삭제하지 않은 것(옥션)이나,

윈도우 OS에서 FTP를 삭제하지 않은 것(SK컴즈)이 과실이 될 수는 없음

FTP외에도 파일전송 수단은 여러가지가 있음

• 만일 회사가 FTP 기능을 막았다고 하더라도,

이 사건 해커는 널리 이용되는 다른 정상적인 기능들을 이용하여 얼마든지 외부

유출을 할 수 있었을 것임

IV. 시사점

33

시사점

해킹사고와 법률적 책임 유무 판단 사이에는 시간적 간격이 발생함

그 간격을 무시하고 최신 보안기술을 기준으로 해킹사고 당시의 과실 여부를

판단하여서는 안 됨

과실 여부 판단의 기준으로서 결과론적 접근방법(hindsight)은 오류

• 결과론적 접근을 할 경우 모든 해킹사고에 관하여 업체의 과실이 자동적으로 인정될

수밖에 없음

손해의 발생에 대한 입증이 없음

• 재산적 손해의 경우 그것이 당해 해킹사고로 인한 것인지(인과관계)에 관한

주장ㆍ입증이 없음

34

해킹에 대한 100% 방어는 기술적으로 불가능

• 도전과 응전의 반복 양상 : ‘창과 방패’

• 국내 유수기관은 물론, 세계 최고 수준의 보안을 자랑하는 미 국방부, CIA, NASA, FBI와 세계적

보안업체인 씨만텍, RSA 등을 상대로도 해킹사고가 발생

• 아무리 훌륭한 보안장비를 갖추어도, 정보통신망은 불가피하게 내재적인 취약점 (vulnerability)을

가질 수밖에 없음

• 해킹은 정보통신망의 취약점을 이용하는 것으로서, 원천적인 방지가 사실상 불가능

해킹과 보안기술의 상관관계

세계 유수의 국가기관과 보안전문업체에서도 해킹사고 발생함

상시적인 취약점 점검 등을 통하여 해킹의 가능성을 낮추는 것이 최선

과실의 유무는 취약점의 존재 여부가 아니라 사업자의 적절한 보호조치를 기준으로

평가하여야 함

본 자료는 일반적인 정보 제공을 위해 작성되었으며, 저희 사무소의 공식적인 견해나 의견이 아닙니다. 내용에 대해 궁금하신 사항이 있으시면 저희 사무소에 문의하시기 바랍니다.