http://news.mk.co.kr/newsRead.php?year=2017&no=576650

일본 정부가 4차 산업혁명 시대 신사업 육성 방안으로, 기업들의 고객 개인정보 활용을 허용하겠다는 파격적인 결정을 내렸습니다. 이는 대량의 개인정보를 활용한 빅데이터가 신규 사업 발굴에 실질적인 도움이 되도록 하려는 목적인데요.

일본은 이미 개인정보보호법 개정을 통해 개인을 특정할 수 없도록 처리된 ‘익명가공정보(비식별화 정보)’ 유통을 허용했으며 의료정보 등의 민감한 정보는 사전 동의 필수 등 강화된 기준을 만족할 경우 활용할 수 있도록 해왔지만 정보를 갖고 있는 기업이나 활용하려는 기업 모두로부터 엄격한 개인정보 유통과 관련한 법적 위험 때문에 활용이 쉽지 않다는 불만이 사그라지지 않았던 바, 이러한 어려움을 해소하자는 차원에서 정보 거래를 중개할 회사를 도입하기로 하고 올해 안에 관련 논의를 마친 뒤 구체안을 확정한다는 방침을 내어놓았습니다.

이에 비해 우리나라는 개인정보 활용에 관한 한 답보 상태에 놓여 있습니다. 우리나라는 개인정보와 관련된 규제는 강한 반면 상대적으로 보호 역량은 그에 미치지 못하는 것이 현실이라 개인정보의 빅데이터화에 우려가 있는 것도 사실인데요.

그러나 빅데이터 활용이 더 늦어진다면 우리나라는 앞으로 4차 산업혁명 시대 새로운 글로벌 경쟁 체제에서 영원히 도태될 가능성이 있습니다. 지금도 서서히 진행되고 있지만, 저출산 고령화 문제는 더욱 심각해질 것이며, 일본처럼 장기불황에 접어들 가능성이 크죠.

결국 탈출구는 빅데이터를 활용한 신사업 육성입니다. 100년을 내다보며 앞으로 빅데이터를 어떻게 활용할 것인지 고민이 필요한 시점인데요.

일본처럼 획기적인 빅데이터 활용 대책을 마련하기 위해서는, 정부와 민간기업 그리고 관계자 모두 머리를 맞대야 할 것입니다. 진부한 표현이지만 늦었다고 생각할 때가 가장 빠르다는 말이 현 시점에 가장 어울리는 표현이 아닐까 합니다.

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=001&aid=0009509688&sid1=001

최근 남양유업 홈페이지가 해킹을 당해 회원정보가 유출된 것으로 확인되었습니다. 남양유업은 “최근 수사기관이 검거한 해커의 PC에서 당사 홈페이지 회원정보 중 일부가 발견됐음을 확인했다.”고 밝혔으며, 경찰에 따르면 약 100만 건의 개인정보가 유출된 것으로 추정되고 있는데요. 남양유업은 홈페이지에 사과 글을 띄워 “개인정보 일부가 유출된 점에 대해 진심으로 사과의 말씀을 드린다.”며 “더는 불미스런 사고가 생기지 않도록 보안대책을 수립하겠다.”고 밝혔습니다.

http://blog.naver.com/it-is-law/220985872354

http://blog.naver.com/it-is-law/220990549076

http://blog.naver.com/it-is-law/220991422851

몇 차례 포스팅을 통해, 개인정보 유출사건 발생 시 회사가 취해야 할 대응절차에 대해 알려드린 바 있습니다.

지난 3월 발생했던 O2O 숙박앱 ‘여기어때’ 해킹 사건 당시 숙박업계 최초로 ‘보안e프라이버시’ 인증을 받았다던 홍보내용과는 무색하게 SQL인젝션 방식이라는 초보적인 방식에 의해 해킹당한 사실이 알려지면서 O2O업계 전반의 보안체계 문제가 도마 위에 올랐었으며, 그 전에 있었던 인터파크 해킹 사건 때에는 천만 명이 넘는 회원의 개인정보가 유출되었다는 사실이 언론을 통해 알려진 다음날에야 사과문이 발표된 데다 이후 인터파크 측이 해킹 사고를 알아차린 시점이 발생 후 두 달이나 지난 뒤였다는 사실이 밝혀지면서 허술한 대응과 무책임한 태도에 대한 회원들의 분노가 빗발쳤었는데요.

정부는 정보통신서비스 제공자등을 위한 ‘개인정보 유출 대응 매뉴얼’을 마련하여 정보통신서비스 제공자등(이하 사업자)이 자사가 보관하고 있는 이용자 등 개인정보가 유출된 사실을 알게 된 후 준수해야 할 조치사항을 안내하고 있는 바, 규정된 대응절차를 준수하지 않을 경우 과징금·과태료 부과대상이 되므로 유사시 매뉴얼에 따라 신속하고 책임감 있게 대응할 필요가 있습니다.

< 개인정보 유출대응 매뉴얼 >

개인정보 유출 대응 매뉴얼에 따르면 개인정보 유출사고 발생 시, 우선 유출 원인을 파악한 후 추가 유출 방지를 위해 유출 원인 별 보호조치를 실시해야 합니다. 그 중 해킹의 경우, 개인정보 추가 유출 방지를 위한 대책을 마련하고 피해를 최소화할 수 있는 조치를 강구해야 하는데요.

그 방법으로 시스템 일시정지, 이용자 및 개인정보취급자 비밀번호 변경, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등과 같은 긴급조치를 시행해야 하며, 개인정보 유출의 직·간접적인 원인을 즉시 제거한 뒤 미비한 보호조치 부분을 파악하여 보완해야 합니다.

(1) 개인정보 유출 신고 및 통지

우선 개인정보 유출 사실을 알게 된 경우, 즉시(24시간 이내) 해커 등 유출자 검거를 위해 경찰청 사이버수사국에 수사 요청하고, 과학기술정보통신부·한국인터넷진흥원에 침해사고 신고 및 방송통신위원회·한국인터넷진흥원에 개인정보 유출 신고를 해야 합니다.

아울러 유출된 개인정보로 인해 추가 피해가 발생하지 않도록, 개인정보 유출 사실을 안 후 즉시(24시간 이내) 해당 이용자에게 개인정보 유출사실을 통지해야 합니다.

(2) 이용자 피해구제 및 재발방지 대책 마련

이용자 피해구제 방법을 안내하고, 유사 사고 재발 방지를 위한 대책을 마련해야 합니다.

1) 개인정보 유출 사고 전파

개인정보 침해 발생을 인지한 경우 임직원 및 이해관계가 있는 사업자에게 개인정보 유출 상황을 전파하여 유사 피해가 발생할 수 있음을 전파해야 합니다. 전파 시에는 한국인터넷진흥원과 협의를 통해 기 구축되어 있는 사업자 핫라인을 활용할 수 있습니다.

2) 이용자 피해구제 및 관련 민원 대응 강화

이용자 개인정보 유출 문의에 신속히 대응할 수 있도록 스크립트와 유출통지문을 작성하고 필요시 이용자 상담 회선을 증설해야 합니다. 또한 전화, 이메일, 홈페이지, SNS 등 다양한 채널을 통해 이용자의 개인정보 유출사실, 유출경위를 확인할 수 있는 창구를 마련해야 하며, 이용자에게 피해발생에 따른 구제절차를 안내하는 것은 물론 이용자의 요청이 있는 경우에는 별도의 ‘개인정보 유출 확인서’ 발급 절차를 운영해야 합니다.

3) 유출 원인분석 및 재발방지 대책 마련

개인정보 유출 원인에 맞는 대책을 마련하고, 유사 사고 재발 방지를 위해 개인정보보호 교육을 실시해야 합니다. 또한 개인정보 유출사고 시나리오 작성 및 모의훈련을 통해 개인정보 유출 대응체계를 점검해야 하며, 홈페이지의 취약점을 연 1회 이상 정기적으로 점검하여야 합니다. 이때 중소기업은 한국인터넷진흥원에서 제공하는 웹 취약점 점검 서비스를 이용할 수 있습니다.

만약 기술력·인력 등의 한계로 자체 긴급조치가 어렵다 하더라도, 필요시 한국인터넷진흥원 기술지원 요청을 통해 긴급조치가 가능합니다.

한국인터넷진흥원의 기술지원 내용은 1) 개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제·변경 또는 폐쇄 조치 지원, 2) 네트워크, 방화벽 등 대내·외 시스템 보안점검 및 취약점 조치 지원, 3) 향후 수사 등에 필요한 접속기록 등 증거 보존 조치 지원 등이 있습니다. 이러한 기술지원은 특히 기술력·인력이 부족한 업체에 큰 도움이 될 것으로 보이는데요.

이처럼 해킹으로 인한 개인정보 유출시 공공기관의 기술지원을 받을 수 있다는 점을 꼭 알아두시기 바라며, 각각의 대응조치를 얼마나 충실히 수행하느냐에 따라 추후 방송통신위원회 과징금·과태료 세부 부과 금액이 결정된다는 점 또한 유념하셔야 할 것입니다.

이어지는 포스팅에서는 개인정보 유출 신고 및 통지 방법에 대해 상세하게 알아보도록 하겠습니다.