IT Solutions/Security

개인정보 실태 점검 사례를 통한 침해사고 대응 준비

2018.08.30 09:30

‘구글링한다.’라는 표현이 등장하듯이 인터넷을 통한 온라인 서비스의 증가는 많은 도움이 되고 있습니다. 그러나 밝은 것이 있으면 어두움이 존재하듯이 온라인을 통해 검색을 조금만 해봐도 단순 스크립트를 이용하여 침해사고를 유발하는 사례도 많이 있습니다. 상황이 이렇게 되다 보니 해킹 사고 소식이 계속 들려 옵니다. 더구나 개인정보보호에 대한 법적 조치가 강화되면서 기존에는 알려지지 않던 사고 사례조차 공개되다 보니 더 많이 알려지는 것으로 보입니다.


그러나 보안 담당자가 취해야 하는 침해사고 발생 시 대응 사례는 검색을 통해 정보를 수집하는 데 어려움이 있습니다. 이런 유출 사례를 자발적으로 공개하기 꺼릴 수밖에 없는 점과 상세 대응을 위해 취한 조치 등은 보호조치의 일환으로 대외비(비밀) 등으로 관리되다 보니 정보 공개에 어려움이 따르게 됩니다.



이런 상황에서 회사의 보안을 담당하는 사람은 어떻게 대응을 할 수 있을까요? 우선 침해사고 대응을 위해 취할 수 있는 절차를 만들 방안에 대해 알아보고, 침해사고 발생 시 유관기관의 점검 대응을 위해 필요한 조치 사항이 무엇인지에 대해 소개합니다.


 개인정보 유출 대응 매뉴얼을 활용해 침해사고 대응 절차 마련하기


침해사고가 발생하면 보안 담당자 및 각 실무 담당자가 대응하기 위한 절차가 필요합니다. 회사 내에 유출 대응을 위한 절차가 없는 경우 KISA에서 제공하는 개인정보 유출 대응 메뉴얼을 참고해 보면 많은 도움이 됩니다. 다음은 KISA에서 제시하는 대응 절차 요약입니다.


l 개인정보 유출 대응 절차 (출처: KISA)


이를 보면 침해 대응을 위한 TF 조직을 구성하고 이를 통해 원인 파악 및 추가 유출 방지를 꾀하며 개인정보 유출 신고 및 통지를 하게 되어 있습니다. 이때 좀 더 고려해야 할 사항으로는 유출 원인 파악 및 추가 유출 방지 조치는 선조치 사항이긴 하나 이 단계가 오래 걸려 개인정보 유출 신고 및 통지가 늦어지면 법 위반 사항이 된다는 사실입니다. 사전에 준비하고 있지 않으면 놓칠 수 있는 부분이기도 합니다.


추가로 침해사고 발생 시 기술적인 대응 및 상시 침해사고 대응 체계 보완을 위해서는 KISA에서 제공하는 침해사고 분석절차 안내서를 활용하거나 침해사고 대응팀 구축•운영 안내서를 참고하시면 많은 도움이 될 것입니다. 평소 관련 내용을 교육하고 모의훈련을 통해 준비가 되는 상황에 대해 점검을 하면 조금은 익숙해 질 수 있을 듯합니다.


다음으로 외부 기관 대응에 대해 알아보겠습니다. 침해사고에 대한 내부 대응은 위 절차를 통해 진행하면 문제가 없으리라 생각합니다. 그러나 회사 내부 대응 외에 침해 사고 결과때문에 개인정보가 유출되었다면 신고를 해야 합니다. 이렇게 개인정보 유출 신고가 되었다면 방송통신위원회 또는 과학기술정보통신부(예전 미래창조과학부)에서 사실 확인의 절차가 진행되게 됩니다.


사실 확인에 대해서는 공문의 형태로 대상 기관에서 신고한 회사로 관련 내용이 발송되게 됩니. 이 경우 회사의 담당자들은 침해사고 대응과 더불어 관계기관의 조사에 대해 무엇을 준비해야 하는지 모르니 불안해지게 될 듯합니다. 이런 불안을 해소하는 방법으로 최근 공개된 개인정보 실태 점검 및 행정처분 사례를 소개합니다.


 실태 점검 유형 이해를 통한 외부기관 점검 준비


2018년 초 행안부에서 개인정보 실태 점검 및 행정처분 사례라는 자료를 발표하였습니다. 2013년부터 2017년(5년간)까지 점검 사례를 공유해 준 자료입니다. 1장을 통해 개요 및 통계 정보를 제시하고 있습니다. 노출 기관 수가 점차 줄어든다는 내용, 행정 처분된 건수 등의 경과를 살펴볼 수 있는 실증 자료라 하겠습니다.


더욱이 2장부터는 현장에서 주로 발생하는 위반 사항을 13개 유형을 구분하여 위반 내용과 처분 사항을 설명하고 있어 보안 담당자가 자신의 회사 기준으로 항목을 이해하는데 현실적인 사례로 많은 도움이 됩니다.


이러한 실태 점검의 유형에 대해 살펴보겠습니다. 실태 점검에는 3가지 유형이 있습니다. 침해 우려가 큰 취약 분야를 대상으로 실시하는 예방적 차원의 기획점검, 침해 신고나 민원 접수 등 침해사고가 발생할 때 실시하는 특별 점검, 개인정보 관리실태를 자체적으로 점검하여 행정안전부로 제출하는 서면 점검의 세 가지 입니다.



기획 점검에 대한 주요 내용을 살펴보면 먼저 개인정보 보유량, 기업 규모, 사전 온라인 점검 결과 등을 종합적으로 판단하여 점검 대상을 선정하고, 공문 발송 후 수검 기관 현장을 직접 방문하여 자료 조사, 담당자 인터뷰, 시스템 점검 등을 실시하는 것입니다.


주요 점검 항목은 개인정보처리시스템의 안전 조치 준수 여부, 수탁자 관리•감독 여부, 보존 기간이 지난 개인정보의 파기 여부, 마케팅 정보 수신 등 선택 정보에 대한 구분 동의 여부 등 60여 가지 항목입니다.


다음으로 서면 점검은 현장점검 대상보다 개인정보 보유량 및 기업 규모가 상대적으로 작은 업체를 대상으로 벌이는 것입니다. 점검 절차는 수검 기관이 직접 점검표와 증거 자료를 작성하여 제출하고, 행정안전부와 한국인터넷진흥원이 이를 점검하는 방식으로 진행합니다.


주요 점검 항목은 점검 항목은 개인정보의 수집 근거 및 동의 방법 준수 여부, 재화•서비스의 홍보나 판매를 권유할 때 별도로 동의받는지 여부, 개인정보의 암호화, 비밀번호 작성 규칙 수립•적용 등 안전조치의무 준수 여부 등 총 15가지 항목입니다.


l 개인정보 실태 점검 64가지 항목 일부 예시


세 번째 유형은 특별 점검을 받게 되는 경우입니다. 개인정보가 유출되어 점검을 받게 되면 이 특별 점검을 받는 것으로 보면 됩니다. 점검 항목은 자료에서도 간략하게 기술되어 있으나 실태 점검 항목을 기반으로 진행하게 될 것이라 보면 되겠습니다.


이런 특별 점검을 받게 되는 경우 보안 담당자는 심리적으로 많은 어려움이 있을 수밖에 없습니다. 아마도 익숙하지 않은 침해사고 대응에 더불어 감독기관의 점검 대응을 동시에 수행하기 때문일 것입니다. 이를 위해 보안 담당자는 공유된 주요 위반 사항에 대해 사전에 점검하고 이에 대한 준비를 하면 감독기관의 점검 대응에 대한 불안함이 조금은 해소되지 않을까 합니다.


이러한 준비를 위해 제시된 주요 보안 위반 유형을 살펴보겠습니다. 이를 준수하게 되면 침해사고 예방에도 많은 도움이 되며 예방 활동은 침해사고 대응을 줄이는 좋은 방안이라고 생각합니다.


 주요 위반사항 검토를 통한 침해사고 예방 활동 강화하기


주요 위반사항으로 아래 표와 같은 항목이 분류되었습니다. 유형별 상세항목과 항목별 과태료 또는 벌금 처분내용에 대해서는 아래를 참고하시기 바랍니다.



각 상세항목별로 현장점검 사례, 위반 사항, 위반에 따른 벌칙과 행정처분 결과, 처분 내용, 개인정보 처리자 시정조치 사항과 점검항목에 대한 설명, 참고 법률에 대한 설명 등에 대해서는 하나하나 설명하는 것은 본 내용을 넘어서는 사항이므로 사례집을 정독하기를 권고합니다.


실태 점검 결과 사례로 적시되는 사항을 검토하면서 각 보안 담당자가 어느 정도의 수준으로 적용해야 하는지 결정하기 어려웠던 사항에 대해 도움이 될 것입니다. 이를 통해 자기 회사에 적절한 기준이 무엇이 좋을지 결정을 하고 회사의 보안 활동을 수행하기 바랍니다.


사례집을 검토하다 보면 2가지의 주요 방향에 대해 이해하게 됩니다. 그것은 개인정보 라이프 사이클(Life Cycle) 관리에 대한 내용과 안전성 확보조치 기준의 준수에 대한 내용입니다.


보안 담당자는 각 회사의 개인정보 처리 현황을 살펴보면서 개인정보 수집 이용 동의, 제삼자 제공 동의, 마케팅 활용 동의, 법정대리인의 동의에 대한 내용에 대해 법에서 요구하는 고지가 되고 있으며, 각 항목별로 분리해 동의를 받고 있는지 그리고 동의의 누락이 있는지 등에 대해 규정 준수 여부를 확인해야 합니다.



처음으로 접해보는 영향평가 수행이라면 공공기관 대상의 개인정보 영향평가 가이드 등 다른 사례를 참고하여 적용해 보시는 것을 권고드립니다. 추가로 법이 지속해서 변경되는 것을 고려하여 개정 사항에 대해 모니터링도 잊지 말아야 합니다.


다음의 하나는 개인정보의 안전성확보조치 기준 준수와 관련한 대응입니다. 내부 관리계획을 수립하여야 합니다. 이 내용에는 개인정보보호 책임자 지정이 필요하고, 교육등 개인정보보호에 필요한 정책 및 절차를 마련하는 내용이 있습니다.


그 외 비밀번호에 대한 관리를 강화해야 하고 접속 기록에 대해 보관 및 관리를 통해 시스템의 안전성을 강화하며 권한 부여 이력에 대해서는 증빙을 통해 지속해서 관리가 되어야 합니다. 이러한 조치는 외부의 공격으로부터 시스템을 보호하는데 더 직접 영향을 주는 항목이니 특히 주의를 기울일 필요가 있습니다.


지금까지 개인정보 유출 대응 매뉴얼과 실태 점검 자료를 간략하게 공유했습니다. 가장 중요한 것은 유출이 발생하지 않는 것입니다만 현실적으로 어려운 부분이므로 침해사고가 발생하였을 때를 대비해 평소 절차를 확인해 두는 것이 필요합니다.


글 l LG CNS 보안컨설팅팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.




Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로