일반소송

 

일반소송

 
제목(스타트업·벤처기업 소송/자문⓽) 해킹에 의해 개인정보가 유출됐을 때, 스타트업이 해야 할 대응조치와 기술지원 혜택은?2017-06-19 17:20
작성자

 


http://blog.naver.com/it-is-law/220986827511 

 

지난 포스팅을 통해 여기어때, 인터파크 해킹사건 같은 개인정보 유출사고가 터졌을 때, 회사가 취해야 할 대응절차를 알려드린 바 있는데요.

 

정부가 마련한 개인정보 유출 대응 매뉴얼에 따라, 개인정보 유출 대응 TF 구성 - 유출 원인 파악 및 추가 유출 방지조치 - 개인정보 유출 신고 및 통지 - 이용자 피해구제 및 재발방지 대책 마련 등 절차를 통해 대응하는 한편, 평상시에도 개인정보 보호조치 및 웹 취약점 점검 등을 통해 개인정보가 안전하게 보호될 수 있도록 회사 환경에 맞는 보호조치 수준을 설정·유지하여야 한다는 것이 요지였습니다.

 

 


http://www.mt.co.kr/view/mtview.php?type=1&no=2017032807412670767&outlink=1 

 

O2O 숙박앱 여기어때해킹사건은 단순히 해당 앱뿐만 아니라, O2O 스타트업 업계 전반에 대한 소비자들의 불신을 불러일으키고 있습니다. 숙박업계 최초로 보안e프라이버시인증을 받았다던 홍보내용과는 무색하게 SQL인젝션 방식이라는 초보적인 방식에 의해 해킹당한 사실이 드러났기 때문인데요. 유명 연예인을 모델로 내세운 TV광고에 거액을 쏟는 동안, 이용자 정보 보안에는 전혀 관심을 쏟지 않았다는 비판을 피하게 어렵게 된 것이죠.

 

게다가 과거 주로 대기업을 노렸던 해커들이 O2O(·오프라인 연계)서비스 해킹에 눈독을 들이면서 업계 스스로도 큰 고민에 빠졌습니다. 해커들은 대부분 O2O업체들의 보안 투자가 부실하다는 점과 숙박정보 등 민감한 프라이버시 정보들이 오히려 큰돈이 될 수 있다는 판단에서 눈길을 돌리고 있는데요. 방대한 개인정보를 다루는 O2O 스타트업 업계엔 단 한 번의 사고로 회사가 망할 수도 있다는 불안감마저 엄습하고 있습니다.

 

그렇다고 해서 대규모 보안시스템 투자에 나서는 것도 말처럼 쉬운 일은 아닙니다. 자본력·인력이 턱없이 부족한 대부분의 스타트업이, 정보보호 전담 인력과 예산을 두는 것은 현실적으로 불가능하기 때문인데요.

 

이를 두고 이용자 사생활 정보에 대한 보안 조치를 의무화하고 처벌을 강화하는 등 엄격한 규제를 마련해야 한다는 의견이 나오고 있지만, 반대로 규제 강화는 국내 스타트업 업계의 현실을 고려하지 않은 진입장벽으로 전락할 것이란 예측도 나오고 있습니다.

 

결국 현재로서는 스타트업 업계의 현실을 고려한 규제를 점진적으로 마련하되, 스타트업 업계 스스로도 마케팅에 쏟는 노력만큼 보안에 신경을 써야할 텐데요.

 

다만 회사가 아무리 보안에 노력했다고 해도 불가항력으로 해킹을 당할 수 있는 만큼, 그 이후 피해를 최소화할 수 있는 방안을 미리 알아둘 필요가 있습니다.

 

 

개인정보 유출 대응 매뉴얼에 따르면 개인정보 유출사고 발생 시, 우선 유출 원인을 파악한 후 추가 유출 방지를 위해 유출 원인 별 보호조치를 실시해야 합니다. 그 중 해킹의 경우, 개인정보 추가 유출 방지를 위한 대책을 마련하고 피해를 최소화할 수 있는 조치를 강구해야 하는데요.

 

그 방법으로 시스템 일시정지, 이용자 및 개인정보취급자 비밀번호 변경, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등과 같은 긴급조치를 시행해야 합니다.

 

 

또한 개인정보 유출의 직·간접적인 원인을 즉시 제거하고, 미비한 보호조치 부분을 파악하여 보완해야 하는데요.

 

기술력·인력 등의 한계로 자체 긴급조치가 어려운 스타트업 업체라도, 필요시 한국인터넷진흥원 기술지원 요청을 통해 긴급조치가 가능합니다.

 

   

https://www.kisa.or.kr/main.jsp 

 

한국인터넷진흥원의 기술지원 내용은 1) 개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제·변경 또는 폐쇄 조치 지원, 2) 네트워크, 방화벽 등 대내·외 시스템 보안점검 및 취약점 조치 지원, 3) 향후 수사 등에 필요한 접속기록 등 증거 보존 조치 지원 등이 있습니다. 이러한 기술지원은 특히 기술력·인력이 부족한 스타트업 업체에 큰 도움이 될 것으로 보이는데요.

 

이처럼 해킹으로 인한 개인정보 유출시 공공기관의 기술지원을 받을 수 있다는 점을 꼭 알아두시기 바라며, 각각의 대응조치를 얼마나 충실히 수행하느냐에 따라 추후 방송통신위원회 과징금·과태료 세부 부과 금액이 결정된다는 점 또한 유념하셔야 할 것입니다.