IT/미디어/과학기술 분야 법률자문

 

IT/미디어/과학기술
분야 법률자문

 
제목‘인터넷나야나’ 랜섬웨어 감염 사태, 피해업체와 피해고객의 법적 대응방안은?2017-06-20 13:27
작성자
첨부파일[별표 1] 보호조치의 구체적인 내용(제3조 관련).hwp (32KB)

 


http://biz.chosun.com/site/data/html_dir/2017/06/12/2017061202795.html 

 

랜섬웨어는 몸값을 뜻하는 랜섬(ransom)과 악성코드(malware)를 합친 말입니다. 최근 해커들이 이 랜섬웨어를 이용, 문서·동영상 등 중요 파일을 암호화해 못 쓰게 한 뒤 다시 파일을 되살려주는 대가로 돈(비트코인)을 뜯어내는 경우가 많아져 전 세계적인 문제가 되고 있는데요.

 

며칠 전 우리나라에서도, 홈페이지를 관리하는 웹호스팅업체 인터넷나야나가 랜섬웨어 공격을 당해, 해당 업체 서비스를 이용 중이던 3,400여개 홈페이지가 접속 불능 상태에 빠졌습니다.

 

해커들은 지난 10일 랜섬웨어 에레버스(Erebus)'를 활용해 인터넷나야나 서버(대형 컴퓨터) 153대를 해킹한 뒤, 각 서버당 복구비용으로 5.4비트코인(1755만원)을 요구했습니다. 전체 서버 대수로 따져봤을 땐 약 27억원에 이르는 거액을 요구하고 있는 것인데요. 피해를 입은 홈페이지 중에는 인터넷쇼핑몰처럼 수익에 직결되는 홈페이지도 대거 포함돼 있어, 복구가 늦어질 경우 경제적 피해는 눈덩이처럼 불어날 것으로 예상됩니다.

 

이에 대해 인터넷나야나 측이 해커와 금액 협상 중에 있고, 피해고객 중 몇 곳은 독자적인 협상을 통해 자료 복원을 추진하고 있는 것으로 알려졌지만, 문제는 돈을 준다고 해도 데이터를 살릴 수 있다는 보장이 없다는 점인데요.

 

해커가 돈을 받은 뒤 암호를 풀 열쇠를 줄지, 이른바 먹튀를 할지는 알 수가 없는 일이죠.

 

 


http://it.chosun.com/news/article.html?no=2835960 

 

사태가 이 지경까지 이르게 된 원인은, 원본 파일뿐만 아니라 내부·외부 백업 파일 모두 랜섬웨어에 감염돼 암호화된데 있습니다.

 

인터넷나야나 사는 평소 로컬, 네트워크, CDP(Continue Data Protection) 3중 백업 장치를 마련해 고객사 홈페이지를 안전하게 보호한다고 홍보해왔고, 그 설명대로라면 호스팅 서버가 랜섬웨어 공격을 받아도 기존 백업 파일을 이용해 복구가 가능하지만, 이번 사건에서는 백업 파일마저 모조리 해킹당하는 바람에 고객사가 자체적으로 원본 데이터를 보유하지 않은 이상 복원이 불가능해진 건데요.

 

물론 인터넷나야나 사가 한국인터넷진흥원 및 사이버수사대와의 공조를 통해 사태 수습에 최선을 다하고 있지만, 일각에서는 회사 측이 홍보해 온 3중 백업이 애초에 제대로 이뤄지지 않았을 것이란 지적도 제기되고 있습니다.

 

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=008&aid=0003886860&sid1=001 

 

해커들이 이런 웹호스팅 기업을 노리는 것은 비용 대비 효과가 매우 크기 때문입니다. 서버 한곳만 뚫려도 수천~수만 곳의 고객사를 대상으로 돈(비트코인)을 요구할 수 있고, 이번 사태처럼 고객사들의 불만을 미끼로 웹호스팅 기업에 협상을 요구할 수 있는데요.

 

이와 비슷하게 고객사들의 데이터를 대신 보유하고 있는 클라우드 서비스 업체들 역시 앞으로 해커들의 주요 먹잇감이 될 것으로 보입니다. 결국 제2, 3의 인터넷나야나 사건이 발생할 가능성이 높다고 봐야겠죠.

 

 


http://blog.naver.com/it-is-law/220985872354 

 

이전 포스팅에서, ‘여기어때’, ‘인터파크등 개인정보 유출사건 발생 시 업체가 취해야 할 대응절차에 대해 알려드린 바가 있습니다.

 

1) 평상시 개인정보 보호조치 및 웹 취약점 점검 등을 통해 개인정보가 안전하게 보호될 수 있도록 자신의 환경에 맞는 보호조치 수준을 설정·유지하여야 하며, 2) 정부가 마련한 개인정보 유출 대응 매뉴얼을 참고하여 자사의 상황에 맞는 매뉴얼을 마련하고 보호조치 시행을 위한 세부적 추진방안을 수립·시행해야 한다는 것이 요지였는데요.

 

특히 개인정보 유출사건 발생 시 경찰청 사이버안전국 수사요청, 미래창조과학부·한국인터넷진흥원 신고, 피해자 통지 및 피해구제 방법 안내 등 대응절차를 준수하지 않는다면 과징금·과태료 부과대상이 되므로 주의해야 합니다.

 

예전 인터파크 개인정보 유출사고시 방통위 과징금·과태료 부과 여부 및 금액 심사에 참여했던 경험이 있는 저로서는, 사후 조치가 얼마나 신속했는지 혹은 정확했는지에 따라 부과 금액도 달라진다고 말씀드릴 수 있습니다.

 


http://news.heraldcorp.com/view.php?ud=20170513000074 

 

물론 개인정보 유출사건 발생 시 업체에 과징금·과태료가 부과되는 것과 달리, 현재 랜섬웨어 감염 자체와 관련된 과징금·과태료 부과 규정은 없습니다. 그러나 랜섬웨어와 관련된 법률적 공백을 최소화하기 위한 방안으로, 현재 피해자 손해에 대한 징벌적 손해배상과 위반 행위로 얻은 이익에 대한 과징금 부과를 골자로 하는 정보통신망법 개정안이 국회에 발의되어 있는 상태이며, 추후 업체의 사후조치에 대한 과징금·과태료 부과 규정 또한 마련될 가능성이 있습니다.

 


http://m.ddaily.co.kr/m/m_article.html?no=156951 

 

또한 정보통신망법은 개인정보보호에 관해 정보통신서비스 제공자에게 기술적·관리적 조치의무를 부여하고 있으며, 그와 별도로 동법 제45조는 정보보호에 관해 정보통신서비스 제공자로 하여금 정보통신망의 안정성을 확보하기 위한 관리적·기술적·물리적 보호조치를 하도록 규정하고 있습니다.

 

미래창조과학부장관은 그 구체적 내용을 정한 정보보호지침을 고시하고 정보통신서비스 제공자에게 이를 지키도록 권고할 수 있으며, 지침 중에는 정보통신망의 지속적인 이용이 가능한 기술적·물리적 보호조치등에 관한 사항이 반드시 포함되어야 하는데요.

 

구체적인 예로는, 외부망과 연계되는 구간에 침입탐지·차단시스템을 설치한다든지, 외부망에서 직접 접속할 수 없는 데이터베이스 서버를 구성한다든지, 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설치·운영해야 한다는 내용 등이 있습니다.

 




 

 

이번 사건의 경우 인터넷나야나 측은 보안 부분과 이중 백업을 철저히 시행했으나 해커 공격으로 인해 해당 서버들의 데이터가 랜섬웨어에 감염된 것이라 공지했는데요. 그러나 기사 내용에 나온 보안업계 전문가의 의견처럼, 백업 데이터까지 랜섬웨어에 걸려 암호화됐다는 것은 별도로 백업서버를 분리하지 않았다는 방증이 될 수 있으며, 이는 기술적·관리적 조치를 다하지 않은 것으로 판단되어 과태료 부과처분을 받게 될 가능성이 있습니다.

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=008&aid=0003886860&sid1=001 

 

반대로 피해를 당한 고객사 입장에서는 업체에 대한 민사상 손해배상 청구를 통해 최소한의 피해 보전을 강구할 필요가 있습니다. 기존에 발생한 피해에 대해 합리적인 보상이 이뤄지지 않는다거나, 앞서 말씀드린 일각의 지적처럼 회사 측이 홍보해 온 3중 백업이 제대로 이뤄지지 않은 상태에서 랜섬웨어 공격을 당한 것이라면, 단체소송 등을 통해 민사상 손해배상이 인정될 여지가 클 것으로 보이는데요.

 

3중 백업이 계약서상 명시되어 있거나 주요 홍보수단으로 쓰여 왔음에도 이를 제대로 준수하지 않았다면 계약 위반 등으로 인한 손해배상을 청구할 수 있을 것이며, 혹여 계약서나 약관상 사고 발생 시 데이터 백업 의무를 고객사에게 미루는 등 책임을 전가하는 내용이 들어있다 하더라도 불공정계약·약관으로써 무효를 주장함과 동시에 손해배상을 청구할 수 있을 것입니다.