2023년 3월 23일 데일리시큐 주최 상반기 최대 공공, 금융, 기업 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2023이 1,300여 명의 보안실무자가 참석한 가운데 성황리 개최되었다. 

이 자리에서 한국인터넷진흥원 플랫폼조사팀 이준 팀장은 ‘최근 개인정보 유출사고 이슈 및 대응’을 주제로 강연을 진행해 개인정보보호 실무담당자들에게 큰 도움을 주었다. 

이 팀장은 개인정보 유출 유형에 대해 △서면, 이동식 저장장치, 노트북 등의 분식 또는 도난 △개인정보처리시스템에 대한 권한 없는 자의 접근 △개인정보처리자의 고의/과실로 인해 파일, 문서, 기타 저장매체가 권한 없는 자에게 잘못 전달 △기타 권한이 없는 자에게 개인정보가 전달되는 것이라고 설명했다. 

이어 유출사고 발생시 개인정보취급자/개인정보보호담당자, CPO, CEO의 역할을 설명하고 유출된 개인정보의 확산 및 추가 유출 방지를 위해 접속경로 차단, 취약점 점검·보완, 유출 개인정보 삭제 등 긴급한 조치를 취해야 한다고 전했다. 

유출 통지, 신고, 공표 방법은 유출된 사실과 확인된 사항만 통지/신고 기한 내에 미리 알리고 나중에 확인된 사항은 추가고지해야 한다. 또 사실관계 파악을 이유로 통지를 지연하는 경우 3천만원 이하의 과태료가 부과된다. 

그리고 관계기관에 유출신고 방법, 정보주체에 유출 통지방법 등에 대해서도 설명했다. 

최근 유출 통지 위반 사례는 다음과 같다. 

△A쇼핑몰은 해킹으로 추정되는 이상징후를 인지하고 5일 후, 개인정보 유출사실을 확인하고 2일 후부터 이용자에게 유출 통지

△B사는 해커에 의해 개인정보가 유출된 사실을 확인한 후 경찰청에 신고했으나 수사관으로부터 해커가 검거될 때가지는 유출 통지를 유보해 달라는 구두 요청을 받고 30일 이상 통지 지연

△C사는 개인정보 유출 사실을 알게 된 후 유출된 정보주체를 대상으로 유출 통지를 실시했으나 아이디 또는 아이디+일방향 암호화된 비밀번호만 유출된 이용자에게 대해 별도의 통지절차를 이행하지 않음

△D사는 정보주체 10여 명의 인적사항이 담긴 개인정보파일을 이메일에 첨부해 다른 사람에게 잘못 보냈으나 해당 파일에 담긴 이용자에게 별도의 유출 통지 절차를 이행하지 않음

한편 유출사고 주요 사례도 소개했다. 

△사업자가 클라우드 서비스를 이용하면 안전한 인증수단을 적용하지 않아 해커에게 관리자 접근권한을 탈취

△SQL인젝션, 웹쉘 공격, 크리덴셜 스터핑 등의 해킹 공격으로 유출사고 발생

△유지보수 업체의 실수로 위탁사의 개인정보가 외부로 유출되는 사고 발생

△웹페이지 개발 실수로 접근통제가 이루어지지 않아 신청자명단이 인터넷에서 검색됨

△인사담당 직원이 교육안내 메일을 보내면서 실수로 인사정보 파일을 첨부해 사고 발생

보다 상세한 내용은 아래 영상을 참고하면되고 이준 팀장의 G-PRIVACY 2023 강연자료는 데일리시큐 자료실에서 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐!