개인정보유출 사고 발생시 대응 매뉴얼은?
지난달 알려진 인터파크 회원 개인정보 대규모 유출 사고를 계기로 방송통신위원회와 인터넷진흥원(KISA)이 사업자가 준수해야 할 ‘개인정보 유출 대응 매뉴얼’을 마련해 31일 발표했다.
인터파크는 개인정보 유출 사실을 이용자들에게 늑장 통지한데다 애매모호한 표현 등 미흡한 문구로 비판을 받았다. 이전에도 개인정보 유출사고가 발생한 뒤 이용자 통지나 관계기관 신고가 지연되는 사례가 있었다. 이 경우 초기 대응에 한계가 발생한다. 자칫하면 개인정보가 추가로 유출되는 피해가 발생할 수도 있다.
방통위와 KISA는 이전의 잘못된 대응사례를 반영해 대응방향을 제시함으로써 신속한 초기 대응을 통해 이용자 피해를 최소화하기 위해 이번 매뉴얼을 마련했다.
이 매뉴얼은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(제28조제1항제1호), 같은 법 시행령 제15조제1항, 개인정보의 기술적‧관리적 보호조치 기준(방통위 고시, 제3조제6호)를 기반으로 정보통신서비스 제공자등이 준수해야 할 조치사항을 담았다.
◆개인정보 유출 신속대응체계 구성‧운영
정보통신서비스 제공자 등은 개인정보 유출사실을 알게 된 때에는 먼저 신속히 최고경영자(CEO)에게 보고해야 한다. ‘개인정보 유출 신속대응팀’을 구성해 추가 유출 및 이용자 피해발생 방지를 위한 조치를 취해야 한다.
신속대응팀에는 개인정보보호책임자와 개인정보보호담당자, 정보보호 담당자, 고객지원 부서 등이 포함돼 있어야 한다. 개인정보보호책임자를 중심으로 사업자 내부 조직·인력을 효율적으로 재구성한다. 유출원인 분석·대응, 유출신고‧통지, 이용자 피해구제를 위한 고객지원 등으로 세분화해 신속하게 대응해야 한다.
◆유출원인 파악과 추가유출 방지조치
개인정보 유출 원인을 신속히 파악한 뒤 유출 경로별 추가유출 방지를 위한 개선조치를 실시해야 한다.
인터파크와 같이 해킹에 의해 유출된 경우에는 추가유출 방지를 위해 시스템 일시정지, 개인정보취급자 비밀번호 변경, 기술적 보안조치 강화 등 상황에 따른 긴급조치를 시행해야 한다.
일방향 암호화되지 않은 비밀번호가 유출된 경우, 비밀번호를 변경하지 않으면 이용할 수 없도록 한다. 일방향 암호화된 비밀번호가 유출된 경우에도 비밀번호 변경을 유도해 추가 피해 예방에 노력해야 한다.
내부자에 의한 개인정보 유출의 경우엔 가장 먼저 유출자의 개인정보처리시스템 접속 이력과 개인정보 열람‧다운로드 등의 내역을 확인한다.
만일 유출자가 개인정보처리시스템에 비정상 경로로 접근했다면 그 우회경로를 확인해 접속을 차단해야 한다.
개인정보취급자의 개인정보처리시스템 접속계정, 접속권한, 접속기록 등을 검토해 추가 유출 여부 확인도 필요하다.
개인정보 유출에 활용된 단말기(PC, 스마트폰 등)와 매체(USB, 이메일, 출력물 등)를 회수하고, 수사기관과 협조해 유출된 개인정보를 회수하기 위한 모든 방법을 강구할 필요가 있다.
◆개인정보 유출 인지한 즉시 신고·통지
해커 등 유출자 검거와 유출된 개인정보 회수를 위해 즉시 경찰청(사이버안전국)에 범죄수사를 요청해야 한다.
인터넷상 침해사고가 발생하면 즉시 미래창조과학부 또는 한국인터넷진흥원에 침해사고를 신고해 침해사고 원인분석 및 취약점 보완조치 등을 실시해야 한다. (KISA 보호나라, ☏국번없이 118)
개인정보 유출사실을 알게된 경우 그 사실을 방송통신위원회 또는 한국인터넷진흥원에 확인된 사항을 중심으로 신고하고 이후 추가사항이 있는 경우에는 추가 신고해야 한다. (개인정보보호 포털 – www.i-privacy.kr, ☏국번없이 118)
신고할 때에는 ▲유출된 개인정보 항목 ▲유출이 발생한 시점 ▲이용자가 취할 수 있는 조치 ▲정보통신서비스 제공자등의 대응조치 ▲이용자가 상담 등을 접수할 수 있는 부서 및 연락처를 명시해야 한다.
이용자들에게도 유출된 개인정보로 인한 추가 피해가 발생하지 않도록 유출 사실을 인지한 즉시 해당 이용자에게 통지해야 한다.
이같은 수사 요청과 신고·통지는 개인정보 유출사실을 알게 된 즉시(24시간 이내) 시행해야 한다.
구체적인 내용이 확인되지 않은 경우에는 그 때까지 확인된 내용을 중심으로 우선 개별 통지한 뒤, 추가로 확인되는 내용이 있으면 이를 즉시 개별 또는 홈페이지를 통해 신속히 통지해야 한다.
구체적 사실관계 파악을 이유로 이용자 통지를 지연하는 경우에는 3000만원 이하의 과태료가 부과될 수 있다.
이용자에게 통지할 때에는 모든 이용자가 유출 여부에 대해 실제 확인이 가능하도록 전화통화, 문자, 이메일 등 이용빈도가 높은 방법을 우선 활용해야 한다.
인터넷 홈페이지 팝업창 게시 및 유출확인 메뉴 마련 등의 조치도 병행하도록 했다. 홈페이지에 게시할 때에는 ‘사과문’, ‘개인정보 유출 안내’ 등의 제목을 사용하되, 법정 통지사항이 모두 포함돼 있어야 한다.
홈페이지 등에는 개인정보 유출사실을 확인할 수 있는 절차를 마련하여 운영하는 것이 바람직하다.
유출 확인 페이지를 운영할 때에는 주민등록번호를 활용하지 않도록 하고, 전송구간 암호화 조치(보안서버 구축 등)를 반드시 이행해야 한다.
◆이용자 피해구제·재발방지 대책 마련
이용자에게 피해 발생에 따른 구제절차를 안내해야 한다.
개인정보보호위원회에 설치돼 있는 분쟁조정위원회를 통해 개인정보 유출에 따른 분쟁조정 절차, 법정‧징벌적 손해배상제도 등을 활용할 수 있다는 것을 이용자에게 안내해야 한다.
이용자 요청이 있는 경우에는 별도의 ‘개인정보 유출 확인서’ 발급 절차를 운영해야 한다.
아울러 향후 유사사고가 재발되지 않도록 대책을 마련하고 개인정보취급자 대상 개인정보보호 교육 등을 실시해야 한다.
개인정보 유출사고 시나리오 작성 및 모의훈련을 실시해 개인정보 유출 대응체계 점검하는 동시해 홈페이지 취약점을 연 1회 이상 정기적으로 점검해야 한다.
정보통신서비스 제공자 등은 매뉴얼을 참고해 자사의 상황에 맞게 ‘개인정보 유출 대응 매뉴얼’을 마련하고, 내부관리계획에 매뉴얼을 포함해 보호조치 이행을 위한 세부 추진방안을 수립‧시행해야 한다.
최성준 방송통신위원회 위원장은 “개인정보 유출사고가 발생한 경우에는 무엇보다 신속하게 이용자에게 알리고 관계기관에 신고하여 추가 피해를 막는 것이 중요하다”며, “이번 매뉴얼을 참고해 사업자마다 자체 상황에 맞는 매뉴얼을 마련하도록 해 향후 유사사고 발생 시 신속히 대응할 수 있도록 개선해 나가겠다”고 밝혔다.
한편, 미래창조과학부와 방송통신위원회는 이날 인터파크 침해사고 관련 ‘민·관합동조사단’의 조사 결과를 발표했다.
해커는 스피어피싱으로 인터파크 직원PC에 악성코드를 최초 감염시킨 뒤 다수 단말에 악성코드 확산과 함께 내부정보를 수집했다. DB서버에 접근 가능한 개인정보취급자PC의 제어권을 획득한 후 DB서버에 접속해 개인정보를 탈취하고 외부로 몰래 유출한 것으로 조사됐다.
이번에 유출된 회원정보는 당초 알려진 1030만건을 크게 상회하는 2665만8753건에 달한다. 해커는 비밀번호와 서버 접근통제 관리 등의 취약점을 악용해 이같은 회원정보가 보관된 파일을 16개로 분할하고 직원PC를 경유해 외부로 유출한 것으로 분석됐다.
유출된 정보는 인터파크 일반회원 아이디와 암호화한 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 1094만 건에 달했다. 이밖에 제휴사 아이디 245만 건, 탈퇴회원 아이디 173만 건, 휴면회원 아이디와 암호화된 비밀번호 1152만 건까지 총 2665만 건이다. 중복 여부는 추가 조사 중이다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network