Copyright ⓒ 2014 Yulchon LLC. All Rights Reserved.

최근 개인정보유출 사례로 본 기업의 개인정보보호

미국변호사 이 재 욱 2013. 3. 18.

법무법인(유) 율촌 (Yulchon LLC)

1. 최근 정보유출 사례

2. IT 사고란

3. 정보보호 Compliance란?

4. Legal Risk 최소화를 위한 ‘정보보호 컴플라이언스’

5. 기업의 정보유출 대응

Table of Contents

최근 정보유출 사례

카드사 정보유출

4 4

※ 출처: SBS TV Morning WIDE (2014. 1. 9)

의사협회 등 개인정보 유출

5

※ 출처: 채널A (2014. 2. 27)

총 1천 700만건

카드결제기 개인정보 유출

6

총 1천 200만건

※ 출처: 뉴스와이 (2014. 3. 5)

‘IT사고’ 란?

‘IT사고’_법률적 정의

8

‘IT사고’ 의 정의*

※ 금융기관검사및제재에관한규정 시행세칙 제46조 제2항 [별표 3] I-4

전자금융감독규정 (제73조)

정보처리시스템 또는 통신회선 등의 장애로 10분 이상 전산업무가 중단 또는 지연된 경우

전산자료 또는 프로그램의 조작과 관련된 금융사고가 발생한 경우

전자적 침해행위로 인해 정보처리시스템에 사고가 발생하거나 이로 인해 이용자가 금전적 피해를 입었다고 금융기관 또는 전자금융업자에게 통지한 경우

전자금융거래법 (제9조1항)

(i) 접근매체(인증서나 비밀번호 등)의 위조나 변조로 발생한 사고,

(ii) 계약체결 또는 거래 지시의 전자적 전송이나 처리과정에서 발생한 사고,

(iii) 전자금융거래를 위한 전자적 정치 또는 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고 (소위 ‘해킹사고’)로 인하여 이용자에게 손해가 발생한 경우

‘IT사고’_유형

KB/NH/롯데카드_1억건

GS칼텍스_1,100만건

삼성카드_81만건

메리츠화재_16만건

SC제일은행

씨티은행

…

의사협회_1,700만건

CJ몰_포인트 도용

옥션_1,000만건

SK컴즈_3,500만건

LG전자_채용사이트

…

국민은행_1천건 NH농협증권_1만 5천건

…

고의 해킹 과실

9

10

고객 정보 유출 금융사 경영진에 '강력 제재' 예고 (‘14.1.8)

3.20 전산사고 관련 NH농협은행, 신한은행 등 각각 기관주의 및 관련 임직원 23명 제재 조치 (‘13.12.5)

한화손보 고객정보유출사고 기관주의 및 임원 1명에 주의적 경고, 직원 3명에 감봉 또는 견책조치 (‘13.5.19)

신한카드·신한생명·푸르덴셜생명·PCA생명 등 4곳 전자금융감독규정 위반 실무자 주의처분 (‘13.4.12)

금융 ‘IT사고’_회사 및 임직원의 징계

11

금융 ‘IT사고’_손해배상책임

회사 법원의 판단 배상액 現 경과

국민은행 (2006. 5.)

• 정신적 손해배상 인정 • 10만~20만원 ( X 1024名 = 1~2억)

• 2007. 11. 항소심 확정

LG전자 (2006. 9.)

• 입사지원서 정보의 보호가치 인정

• 70만원 ( X 32名=2,240만)

• 30만원 ( X 258名=7,740만)

• 2008. 11. 확정

옥션 (2008. 2.)

• 개인정보 관리 상의 과실 부정

• 50~300만원 청구 원고 패소

• 대법원 계류 중

SK컴즈 (2013. 2.)

• 관리 책임 인정 • 20만원 ( X 2,900名=5.8억)

• (3,500만名 배상 시 7조원)

• 항소심 계속 중

집단소송의 대형화

12

판결일자 사건명 원고수 유출건수 법률적 쟁점 인정된 위자료

2007.1.26. 엔씨 소프트

5명 54만명 유출되지 않고 유출의 위험에 처한 이용자의 손해배상도 인정 10만원

2007.11.27. 국민 은행

1026명 32,277명 은행이 서비스이용자들에게 이메일을 발송하는 과정에서 실수로 이용자들의 성명, 주민등록번호, 이메일 주소 등 개인정보를 수록한 텍스트 파일을 첨부한 사안

-20만원 (주민등록번호 유출)

-10만원 (주민등록번호 유출 안 됨)

2008.11.25. LG 전자

259명

3,000여명

-LG 전자가 당시의 기술 수준에 비추어 보더라도 보관중인 개인정보의 분실, 도난, 누출 등 방지에 필요한 보안조치를 강구하여야 할 주의의무를 위반

-유출될 가능성만으로는 손해배상 인정하지 않음

30만원

2012.12.26. GS 칼텍스

약 4만명 1,125만명 모두 압수, 임의제출되었거나 폐기되었다는 점에서 개인정보 유출로 인하여 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기 어렵다고 판단

기각

2013.5.2. 이베이 코리아, 인포섹

약 14만명 1,860만명

중국 해커가 4차례에 걸쳐 옥션의 웹서버 중 하나에 침입하여 피해자들의 이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호 등 개인정보를 자사 컴퓨터로 내려받아 전체 회원의 개인정보가 유출된 사안에서 옥션 측의 귀책사유를 인정하지 않은 사안

기각

출처: 2014. 2. 16. 김기식 의원 보도자료

13

금융회사의 정보수집 최소화 및 보관기간 5년으로 단축 1 주민등록번호 최초 거래시에만 수집 및 암호화 보관 2 정보 제공 시 필수사항에 대한 동의만으로 계약 체결되도록 전면 개편 3 금융회사의 개인정보 이용․제공 현황을 조회하고, 영업목적 전화에 대한 수신 거부(Do-not-Call) 등록 등을 위한 시스템 구축 4 임원 등의 정보보호․보안관련 책임 및 금전적․물리적 제재 대폭 강화 5 금융전산 보안전담기구 설치 등을 통해 금융회사의 보안통제 강화 6 정보유출시 대응 매뉴얼(Contingency Plan)마련 및 비상 대응체계 구축 7

규제의 강화 2014. 3. 10. 금융분야 개인정보 유출 재발방지 종합대책

14

GS칼텍스 (1,100만건)

원고 과실없음

현대캐피탈 (170만건)

주의적 경고 기관주의

과태료 600 3개 카드사 사고 경영진 교체 3개월 영업정지

개인정보유출 사고 기업의 최대 Risk

‘IT사고’_기업의 최대 Risk

개인정보 유출사고 발생社

과태료 시정조치 (경고·주의)

무징계

총 58개 13개

(총액9,439만원) 14개 31개

삼성카드 (47만건)

SC제일/ 씨티은행

제재 수위

(2009년~ 2013년 통계)

SC제일 행장 교체

씨티

‘정보보호 Compliance’ 란?

‘정보보호 Compliance’

16

내재화

지속적인 유지 및 변화관리

제도적 Frame

관련 법령 및 표준

회사의 지위

회사의 특성 고려

사건/사고 사례

최신 IT Trends

17

‘정보보호 Compliance’

전자상거래 사업자

신용정보 제공·이용자

전자상거래법

신용정보법

정보통신서비스 제공자

개인정보처리자

정보통신망법

개인정보보호법

전자문서 및 전자거래 기본법

전자금융거래법

18

현행법 개정법(2014. 8. 7. 시행)

(제65조②,③)안전행정부장관 또는 관계 중앙

행정기관의 장은 이 법 등 개인정보 보호와 관련

된 법규의 위반행위가 있다고 인정될 만한 상당

한 이유가 있을 때에는 책임 있는 자를 징계할 것

을 그 소속기관단체 등의 장에게 권고할 수 있음.

이 경우 권고를 받은 사람은 이를 존중하여야 하

고 그 결과를 안전행정부장관 또는 관계 중앙행

정기관의 장에게 통보하여야 함.

(제65조②,③)안전행정부장관 또는 관계 중앙행정

기관의 장은 이 법 등 개인정보 보호와 관련된 법규

의 위반행위가 있다고 인정될 만한 상당한 이유가 있

을 때에는 책임 있는 자(대표자 및 책임있는 임원을

포함한다)를 징계할 것을 해당 개인정보처리자에게

권고할 수 있음. 이 경우 권고를 받은 사람은 이를 존

중하여야 하고 그 결과를 안전행정부장관 또는 관계

중앙행정기관의 장에게 통보하여야 함.

‘정보보호 Compliance’_실패시 Risk

경영진의 책임 대표자 및 책임있는 임원에 대한 징계권고 근거 조항 마련 (개정 개인정보보호법)

19

양벌 규정: 상당한 주의와 감독의무

형사 책임

위반 행위

관련 근거

• 기술적·관리적 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 자

정보통신망법

• 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조 또는 훼손당한 자

개인정보보호법

2년 이하의 징역 또는 1천만원 이하의 벌금

2년 이하의 징역 또는 1천만원 이하의 벌금

‘정보보호 Compliance’_실패시 Risk

Legal Risk 최소화를 위한 ‘정보보호 Compliance’

21

Legal Risk 최소화_법률 적합성 검토 영역

21

체계적이고 효과적인 정보보호 컴플라이언스 대응 체계 수립을 위해 다양한 영역에 대한 법률적합성 검토가 필요한 실정임

관련 조직의 정비 1

내부통제체계의 검토 2

전산업무 위수탁 현황 검토 3

고객정보 Life-Cycle 현황 검토 4

감시체계의 적정성 5

사고발생시 대응체계 수립 6

교육 프로그램의 운용 7

※ 기타 고려사항

기업의 정보유출 대응

23

24

개인정보 유출 대응

Step I. 사고 초기 대응 Step II. 사고 조사 지원 Step III. 규제기관 및 소송

• 방송 및 지면을 통한 사건 보도

• 인터넷 및 SNS 등을 통한 사고 전파 등

• 내부통제 활동을 통한 사고 인지

• 제보자를 통한 사고 사실 접수 등

• 수사/감독당국의 특별 검사

• 피해자들의 소송제기

To do List 작성

명확한 사고 경위 조사

사고 원인 분석 및 초기 조치

사고 확산 범위 및 유출 여부 확인

신고 순서(先 조치 後 신고) 의사결정

정보 회수 가능성 및 회수 범위 조사

감독당국의 검사 대비

…

압수수색영장 제시

내부 보안통제

사고 경위에 따른 핵심이슈 식별

쟁점사항에 대한 내부의견 조율

제출 요청자료 준비 검토

문답 및 확인 사항에 대한 검토

피해자의 피해구제 요청 대응

…

내부 보안통제

사실관계의 확인

왜곡 및 과잉보도 통제

고객 2차 피해 최소화 방안

고객 구제절차 및 대응방안

관계기관 사고 신고 및 통지

감독당국의 검사 대비

…

보안사고에 대한 대응법

25

참고: What to do after a security breach, cio insight, 2014. 3. 5.

Preparation and practice make perfect 1 Don’t panic 2 Move quickly but stay patient 3 Don’t go it alone 4 Assemble the right team 5 Get legal advice 6 Someone needs to talk 7 Identify lessons learned 8

26

Q & A

Unit 03, 4th Floor, Kumho Asiana Plaza, 39 Le Duan St., Ben Nghe Ward, Dist.1, Ho Chi Minh City, Vietnam Tel: +84 8 3911 0225 Fax: +84 8 3911 0230 E-mail: eyang@yulchon.com

서울특별시 강남구 테헤란로 518, 12층 (대치동) Tel: 02-528-5200 Fax: 02-528-5228 E-mail: mail@yulchon.com

법무법인(유) 율촌 (서울 사무소)

베트남 (호치민 사무소)

베트남 (하노이 사무소)

1209, 12F, South Tower C, Raycom InfoTech Park, No. 2, Ke Xue Yuan Nan Lu, Haidian District, Beijing, 100190, P.R. China Tel: +86-10-8567-0828/0768 Fax:+86-10-8567-0738 E-mail :Beijing@yulchon.com

중국 (북경 사무소)

Suite 2502, Keangnam Hanoi Landmark Tower, Pham Hung Street, Tu Liem District, Hanoi, Vietnam Tel: +84-4-3837-8200 Fax: +84-4-3837-8230 E-mail: eyang@yulchon.com