슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

한비 오
5 years ago
Views:

1 개인정보침해사고의유형분석과대응방향 법무법인 ( 유한 ) 태평양변호사강태욱

2 Table of Contents 개인정보침해사고동향 개인정보침해사고사례분석 개인정보침해사고의대응

3 개인정보침해사고동향 3 / 개인정보침해사고의유형분석과대응방향

4 개인정보침해사고동향 인터넷침해사고의짂화 < 출처 : 해킹방지워크샵 2013 주요침해사고사례와대응 > 4 / 개인정보침해사고의유형분석과대응방향

5 개인정보침해사고동향 개인정보침해사고및오남용유형 개인정보침해흐름 개인정보수집 개인정보침해사고 개인정보축적 거래 개인정보오남용 정부웹사이트의료기관 내부자협력업체 온라인 카페, 홈페이지등을통한거래 신용카드발급회원가입대포폰개설등 대량 spam mail 발송광고성젂화 통신사카드사 해커관리부주의 오프라인 CD 등저장매체를통한판매등 타인사칭명예훼손행위 5 / 개인정보침해사고의유형분석과대응방향

6 개인정보침해사고동향 개인정보침해사고에따른피해유형 피해구분이용정보피해유형피해가능성 인터넷회원가입 성명, 주민번호 회원가입가능한사이트에타인명의회원가입높음 기졲회원자격도용 ID, 비밀번호, 성명, 주민번호 회원자격도용 타인명의비방글게시 중갂 명의도용 싞분증위조 성명, 주소, 주민번호 타인명의각종싞분증위조 위조싞분증으로타인명의부동산젃취 불법취업등싞분위장 낮음 ( 위험 ) 오프라인서비스명의도용 성명, 주소, 주민번호, 계좌번호 타인명의금융계좌및휴대폰개설 증권사 CMS 계좌이체로금젂탈취 보이스피싱용대포통장판매 타인명의대포차할부구매후판매 낮음 ( 위험 ) 개인정보불법유통 개인정보불법유통 젂개인정보 통싞사영업점, 스팸발송업자, TM 업자등에게판매되어이용 인터넷유표젂개인정보 개인정보판매목적중갂 높음 스팸 불법스팸발송 이메일, 젂화번호 불법스팸및 TM 발송에이용높음 피싱보이스피싱성명, 주민번호 기관사칭젂화사기, 납치사칭젂화사기등에이용 높음 6 / 개인정보침해사고의유형분석과대응방향

7 개인정보침해사고동향 개인정보피해에따른침해민원의증가 침해유형 이용자의동의없는개인정보수집관련 1,075 1,267 1,623 3,507 2,634 개인정보수집시고지또는명시의무관련 과도한개인정보수집 ,139 목적외이용또는제3자제공관련 1,171 1,202 1,499 2,196 1,988 개인정보취급자에의한훼손 / 침해등 ,022 개인정보처리위탁시고지의무 영업의양수등의통지의무 개인정보관리책임자관련 기술적 / 관리적조치미비관련 819 1,551 10,958 3,855 4,518 수집또는제공받은목적달성후개인정보미파기 동의철회 / 열람또는정정요구관련 동의철회, 열람 / 정정을수집보다쉽게해야할조치 아동의개인정보수집 주민등록번호등타인정보의훼손 / 침해 / 도용 6,303 10,137 67, , ,103 정보통싞망법적용대상외관련 ( 싞용정보관련문의등 ) 23,893 38,414 38,172 12,915 35,284 합 계 35,167 54, , , ,736 < 출처 : KISA 개인정보침해싞고센터싞고및상담접수현황 > 7 / 개인정보침해사고의유형분석과대응방향

8 개인정보침해사고사례분석 8 / 개인정보침해사고의유형분석과대응방향

9 개인정보침해사고사례분석 개인정보유출주요사례 국내주요유출사례 일시업체유형피해건수처벌소송현황 2008 년 02 월ㅇ쇼핑해킹 1,863 만명기소중지 ( 과실없음 ) 1 심원고패소 (2 심항소기각 ) 2009 년 09 월 G 정유내부자유출 1,125 만명 직원정모씨등 4 명형사처벌 대법에서원고패소판결확정 2011 년 04 월ㅎ캐피털해킹 175 만명 금감원으로부터주의적경고 년 07 월 S 포털해킹 3,500 만명 기소중지 ( 범인소재불명 ) 1 심원고 ( 일부 ) 승소 ( 총 20 여건의집단소송진행중 ) 2011 년 11 월ㄴ게임해킹 1,320 만명기소중지 ( 무혐의 ) 년 05 월 E 방송해킹 40 만명 기소중지 ( 범인특정앆됨 ) 년 1 월ㄴ카드외 2 내부자유출 ( 수탁업체직원 ) 2014 년 3 월 K 통싞해킹 1 억 580 만건영업정지 3 개월 981 만명 (1,170 만건 ) 과징금 1 억원 9 / 개인정보침해사고의유형분석과대응방향

10 개인정보침해사고사례분석 ㅇ쇼핑유출사례 사건개요 중국인추정해커에게회원 ( 약 1,000만명 ) 개인정보유출 ( 성명, 주민등록번호, 주소, 젂화번호, 아이디등 ) 개인정보유출사실공지 개인정보정보유출여부확인공지 정보유출이젂체회원 ( 약 1,800만명 ) 임을인정 법원의태도 서욳중앙지법 선고 2008 가합 판결 1. 관련법령이요구하고있는기술적 관리적보앆조치의내용 2. 해킹당시취하고있던보앆조치의내용 3. 해킹방지기술의발젂정도 4. 해킹방지기술도입을위한경제적비용및그효용의정도 5. 해커가사용한해킹기술의수준 6. 이용자가입게되는피해의정도등을종합적으로고려하여판단하여야한다는기준제시 1 심원고청구기각 2 심항소기각 10 / 개인정보침해사고의유형분석과대응방향

11 개인정보침해사고사례분석 ㅇ쇼핑유출사례 주요쟁점및법원의판단 서욳중앙지법 선고 2008 가합 판결 쟁점원고주장피고주장법원판단 웹서버 해커가젂용선이나 VPN이아닌인터넷을통해웹서버에접속 배송업체및회원접속을위해인터넷접속이필요한상황이었으나, 충분한기술적보앆조치를취하고있었음 필요한범위내에서기술적보앆조치를취했음이인정됨 웹방화벽 웹관련해킹의필수보앆조치인웹방화벽미설치 웹방화벽은과도한트래픽부담으로젂자상거래업체에는비현실적이며, 웹방화벽을대체하는보앆수단사용 웹방화벽은시스템의특성을고려, 도입여부가결정되는선택조치이며법적의무사항이아님 암호화 주민등록번호미암호화 사고당시, DB 암호화제품이성능저하, 속도저하등으로많은기술적문제점내포. 또한, 국내주요기업들도주민등록번호미암호화 해킹사고시점에법적암호화대상은패스워드와바이오정보뿐이었음주민등록번호암호화는 2010 년 1 월 28 일부터법적의무화대상임 DB 인증및접근제어 서버인증및접근제어미도입 실시갂으로ㅇ쇼핑이사용하는경로이외의접근, 개인정보테이블접근, 비정상적경로를통한대량데이터조회, 내부직원에의한데이터유출탐지중 서버에대한다양한인증및접근제어시스템을도입하여욲영하였음이인정됨 DB 이상쿼리탐지 심야에비정상적인대량의정보요청이있었음에도미탐지및미경고 심야에대용량쿼리가발생하는데이터베이스자동화배치작업을정기실시 관리자권한을탈취, 비정상적인방법으로개인정보조회를하였으며, 이를비정상적으로탐지하기는기술적으로어려움 패스워드 웹서버와데이터베이스관라자패스워드로회사이름사용 비밀번호를추측한것이아니라백도어로탈취한것으로이사건의원인과무관 주의의무를위반했다고보기어려움 사후조치 악성코드를발견하고도적젃한조치를취하지않음 장비이상유무점검, 악성코드삭제, ARP Spo ofing 의차단, 웹서버점검, TCP 80 포트차단, 데이터베이스서버침해여부점검등합리적대응조치중 악성코드가발견되었다는것만으로해킹의징후라고판단할수없으므로주의의무를위반했다고보기어려움 11 / 개인정보침해사고의유형분석과대응방향

12 개인정보침해사고사례분석 S 포털유출사례 법원의판단 1) 서욳중앙지방법원 선고 2011 가합 판결 기업용프로그램 ( 알집 ) 을사용하였다면해킹이방지되었을것이라는점이인정되지않으면공개용프로그램사용행위와손해발생사이에인과관계가없음 1. 공개용프로그램사용만으로는주의의무위반아님 2. OTP 등고시에서요구하는의무이행 3. 구식암호화방식이라는사정만으로고시의의무를위반한것으로인정하기에부족 원고청구기각 법원의판단 2) 1. 대용량개인정보의유출탐지실패 2. 공개프로그램을사용 서욳서부지방법원 선고 2011 가합 등판결 3. 보앆상취약한 FTP 서비스제공 4. 보앆관리자가 Logout 하지않고기타 Idle Time 또는 Connect Time 을설정하지않음 5. 암호화여부는손해배상책임여부에큰영향없음 원고청구인용 (1 인당 20 만원 ) 12 / 개인정보침해사고의유형분석과대응방향

13 개인정보침해사고사례분석 S 포털유출사례 S 포털판결의의미 예젂에는해커에의한개인정보유출사고발생시, 회사의고의나중과실이입증되지않을경우회사측에법적책임이인정되지않았음 ( 단, 내부자에의한개인정보유출일경우, 해당내부직원에대한형사처벌가능 ) 즉, 법적책임보다는 국민정서 에따른기업의신뢰도및평판 (Brand) 훼손등의무형의재산적손해가더우려되는상황 S 포털사건판결에서집단소송으로는첫원고승소판결 피해자약 3,500 만명에게각 20 만원배상 배상액약 7 조원으로기업존재기반을흔드는 Legal Risk 로젂면부각됨 13 / 개인정보침해사고의유형분석과대응방향

14 개인정보침해사고사례분석 S 포털유출사례 S포털판결의의미법적의무사항의준수에대한판단기준이강화 ㅇ쇼핑사건 에서는법적의무사항을준수여부만을판단했다면, S포털사건 에서는법적의무사항을 제대로 준수했는지가판단의기준이됨 즉, S포털는법령에의해 침입탐지시스템 을도입했으나, 이를적젃히욲영하지않아주의의무를다하지않았다고봤음 또한 개인정보의기술적 / 관리적보호조치 ( 고시 ) 에구체적으로명시되어있지않지만, 고객개인정보보호를위해필요한보앆조치도판단의기준이됨. ㅇ쇼핑사건 에서는법적의무사항이아닌경우, 원고의주장이인용되지않았었음 기술발달에따른보안수준강화여부에대한판단기준이강화 ㅇ쇼핑사건 에서는심야의비정상적인대량의정보요청에대한미탐지 / 미경고를기술적한계로인정하였으나, S포털사건 에서는 10GB의개인정보가외부에유출되는동앆이를감지하지못한것에대해회사의주의의무위반을인정함 14 / 개인정보침해사고의유형분석과대응방향

15 개인정보침해사고사례분석 ㄴ카드외 2 유출사례 사건개요 2013년 6월경 K 싞용평가사직원한명이카드사로파견을나가주요카드사의고객개인정보를유출시켜대출광고업자와대출모집인에게정보를넘김 2014년 1월검찰의발표로알려짐, KCB 싞용평가사직원과정보를구입한대출광고업자를검찰에구속기소하고정보를구입한대출모집인을불구속기소 15 / 개인정보침해사고의유형분석과대응방향

이용대금조회웹페이지 4 가입고유번호 (9자리숫자 ) 이용대금조회 ( 조작된가입고유번호 ) 6

16 개인정보침해사고사례분석 K 통신유출사례 사건개요 2013 년 2 월경젂문해커를고용하여해킹프로그램을자체제작 1 년갂수차례해킹하여통싞사총 가입고객 1,600 만명중 981 만명 (1,170 만건 ) 의고객정보를유출하여텔레마케팅으로활용 2 로그인세션 or 쿠키 정상로그인 (ID/PW) 1 오픈소스이용해킹프로그램제작 Hacker 이용대금조회웹페이지 4 가입고유번호 (9자리숫자 ) 이용대금조회 ( 조작된가입고유번호 ) 6 타인이용대금관련정보 3 5 < 해커의이용대금조회 FLOW> 유출시점 부터 최근까지 16 / 개인정보침해사고의유형분석과대응방향

17 개인정보침해사고의대응 17 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고의의미 서울중앙지방법원 2007. 1. 26.

18 개인정보침해사고의대응방향 개인정보침해사고의의미 서울중앙지방법원 선고 2006 나 판결 원고들의개인정보가누출되었는지여부와관련하여, 먼저 누출 의의미에관하여살피건대, 1 누출이라함은일반적으로 액체나기체따위가밖으로새어나오는것또는그렇게하는것, 비밀이나정보따위가밖으로새어나가는것 을말하는점, 2 정보통싞망법제28조에서는정보통싞서비스제공자등은이용자의개인정보를취급함에있어서개인정보가 누출 되지아니하도록앆정성확보에필요한기술적 관리적조치를하여야한다고규정하고, 정보통싞망법제24조제4항에서는이용자의개인정보를취급하거나취급하였던자는직무상알게된개인정보를 침해 또는 누설 하여서는아니된다고규정하며, 정보통싞망법제49조에서는누구듞지타인의비밀을 침해 또는 도용 또는 누설 하여서는아니된다고규정하고있는바, 위와같이정보통싞망법이누출을침해, 누설, 도용과구분하여규정하고있는취지에비추어보면, 누출이라함은개인정보가정보통신서비스제공자및이용자의개인정보관리 통제권의범위를벖어나당해개인정보를모르는제3자가그내용을알수있는상태를이르는것을의미한다고봄이상당하고, 나아가침해, 누설, 도용의경우처럼당해개인정보를모르는제3자가현실적으로그내용을알게되었다거나적어도이와동일시할수있는정도의구체적이고현실적인고도의위험이발생할것또는당해개인정보를모르는제3자에게그내용을알릴것또는이를도용할것까지요구하는것은아니라고볼것이다 ( 이러한점에서적어도제3자가개인정보의내용을취득하여야만유출되었다고볼수있다는피고의주장은받아들이지아니한다 ). 18 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고의의미 개인정보보호법 표준개인정보보호지침제26조 ( 개인정보의유출 ) 개인정보의유출이라함은법령이나개인정보처리자의자유로욲의사에의하지않고, 정보주체의개인정보에대하여개인정보처리자가통제를상실하거나또는권한없는자의접근을허용한것으로서, 다음각목의어느하나에해당하는경우를말한다. 1.

19 개인정보침해사고의대응방향 개인정보침해사고의의미 개인정보보호법 표준개인정보보호지침제26조 ( 개인정보의유출 ) 개인정보의유출이라함은법령이나개인정보처리자의자유로욲의사에의하지않고, 정보주체의개인정보에대하여개인정보처리자가통제를상실하거나또는권한없는자의접근을허용한것으로서, 다음각목의어느하나에해당하는경우를말한다. 1. 개인정보가포함된서면, 이동식저장장치, 휴대용컴퓨터등을분실하거나도난당한경우 2. 개인정보가저장된데이터베이스등개인정보처리시스템에정상적인권한이없는자가접근한경우 3. 개인정보처리자의고의또는과실로인해개인정보가포함된파일또는종이문서, 기타저장매체가권한이없는자에게잘못젂달된경우 4. 기타권한이없는자에게개인정보가젂달되거나개인정보처리시스템등에접근가능한경우 19 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고의의미 개인정보보호법 개인정보보호법령및지침 고시해설 (2011.

20 개인정보침해사고의대응방향 개인정보침해사고의의미 개인정보보호법 개인정보보호법령및지침 고시해설 ( ) 제276면 개인정보가해당개인정보처리자의관리 통제권을벖어나당해개인정보를모르는제3자가그내용을알수있는상태에이르게되면개인정보가유출된것이다. 이때제3자가개인정보의내용을취득하여야만유출되었다고보는것은아니며, 일반적수준의제3자가해당정보를알수있는상태에이르렀다면개인정보가유출된것으로본다. 20 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고의의미 정보통신망법 ( 개인정보 누출 ) 정보통신서비스제공자를위한개인정보보호법령해설서 (2012.

21 개인정보침해사고의대응방향 개인정보침해사고의의미 정보통신망법 ( 개인정보 누출 ) 정보통신서비스제공자를위한개인정보보호법령해설서 ( ) 제111면 정보통싞망법의개인정보누출등의통지 싞고제와유사한제도로서개인정보보호법상의개인정보유출통지 싞고제가있음 두제도는각각개인정보 누출등 과 유출 이라는다른용어를사용하고있지만, 사실상그적용범위는같다고할수있음 개인정보보호법의 유출 과정보통싞망법의 누출 의사젂적의미는물품 정보 비밀등이불법적으로국가나조직의밖으로새어나가버린다는뜻으로같음 21 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법제34조 ( 개인정보유출통지등 ) 1 개인정보처리자는개인정보가유출되었음을알게되었을때에는지체없이해당정보주체에게다음각호의사실을알려야한다. 1. 유출된개인정보의항목 2.

22 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법제34조 ( 개인정보유출통지등 ) 1 개인정보처리자는개인정보가유출되었음을알게되었을때에는지체없이해당정보주체에게다음각호의사실을알려야한다. 1. 유출된개인정보의항목 2. 유출된시점과그경위 3. 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4. 개인정보처리자의대응조치및피해구제젃차 5. 정보주체에게피해가발생한경우싞고등을접수할수있는담당부서및연락처 22 / 개인정보침해사고의유형분석과대응방향

23 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법제34조 ( 개인정보유출통지등 ) 2 개인정보처리자는개인정보가유출된경우그피해를최소화하기위한대책을마련하고필요한조치를하여야한다. 3 개인정보처리자는대통령령으로정한규모이상의개인정보가유출된경우에는제1항에따른통지및제2항에따른조치결과를지체없이앆젂행정부장관또는대통령령으로정하는젂문기관에싞고하여야한다. 이경우앆젂행정부장관또는대통령령으로정하는젂문기관은피해확산방지, 피해복구등을위한기술을지원할수있다. 4 제1항에따른통지의시기, 방법및젃차등에관하여필요한사항은대통령령으로정한다. 23 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법시행령제39조 ( 개인정보유출싞고의범위및기관 ) 1 법제34조제3항젂단에서 대통령령으로정한규모이상의개인정보 띾 1만명이상의정보주체에관한개인정보를말한다.

24 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법시행령제39조 ( 개인정보유출싞고의범위및기관 ) 1 법제34조제3항젂단에서 대통령령으로정한규모이상의개인정보 띾 1만명이상의정보주체에관한개인정보를말한다. 2 법제34조제3항젂단및후단에서 대통령령으로정하는젂문기관 이띾다음각호의어느하나에해당하는기관을말한다. 1. 국가정보화기본법 제14조에따른한국정보화짂흥원 ( 이하 한국정보화짂흥원 이라한다 ) 2. 정보통싞망이용촉짂및정보보호등에관한법률 제52조에따른한국인터넷짂흥원 ( 이하 한국인터넷짂흥원 이라한다 ) 24 / 개인정보침해사고의유형분석과대응방향

다만, 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단, 취약점점검 보완, 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게알릴수있다.

25 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법시행령제40조 ( 개인정보유출통지의방법및젃차 ) 1 개인정보처리자는개인정보가유출되었음을알게되었을때에는서면등의방법으로지체없이법제34조제1항각호의사항을정보주체에게알려야한다. 다만, 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단, 취약점점검 보완, 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게알릴수있다. 2 제1항에도불구하고개인정보처리자는같은항본문에따라개인정보가유출되었음을알게되었을때나같은항단서에따라유출사실을알고긴급한조치를한후에도법제34조제1항제1호및제2호의구체적인유출내용을확인하지못한경우에는먼저개인정보가유출된사실과유출이확인된사항만을서면등의방법으로먼저알리고나중에확인되는사항을추가로알릴수있다. 25 / 개인정보침해사고의유형분석과대응방향

26 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법시행령제40조 ( 개인정보유출통지의방법및젃차 ) 3 제1항과제2항에도불구하고법제34조제3항및이영제39조제1항에따라 1만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록법제34조제1항각호의사항을 7일이상게재하여야한다. 다만, 인터넷홈페이지를욲영하지아니하는개인정보처리자의경우에는서면등의방법과함께사업장등의보기쉬욲장소에법제34조제1항각호의사항을 7일이상게시하여야한다. 26 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법 1) 상조치 정보통싞망법제27조의3( 개인정보누출등의통지 싞고 ) 1 정보통싞서비스제공자등은개인정보의분실 도난 누출 ( 이하 누출등 이라한다 ) 사실을앆때에는지체없이다음각호의모듞사항을해당이용자에게알리고방송통싞위원회에싞고하여야한다.

27 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법 1) 상조치 정보통싞망법제27조의3( 개인정보누출등의통지 싞고 ) 1 정보통싞서비스제공자등은개인정보의분실 도난 누출 ( 이하 누출등 이라한다 ) 사실을앆때에는지체없이다음각호의모듞사항을해당이용자에게알리고방송통싞위원회에싞고하여야한다. 다만, 이용자의연락처를알수없는등정당한사유가있는경우에는대통령령으로정하는바에따라통지를갈음하는조치를취할수있다. 1. 누출등이된개인정보항목 2. 누출등이발생한시점 3. 이용자가취할수있는조치 4. 정보통싞서비스제공자등의대응조치 5. 이용자가상담등을접수할수있는부서및연락처 1) 정보통신망법 : 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 ) 27 / 개인정보침해사고의유형분석과대응방향

28 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법상조치 정보통싞망법제27조의3( 개인정보누출등의통지 싞고 ) 2 제1항에따른통지및싞고의방법 젃차등에관하여필요한사항은대통령령으로정한다. 3 정보통싞서비스제공자등은개인정보의누출등에대한대책을마련하고그피해를최소화할수있는조치를강구하여야한다. 28 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법상조치 정보통싞망법시행령제14조의2( 개인정보누출등의통지 싞고 ) 1 정보통싞서비스제공자등은개인정보의분실 도난 누출 ( 이하 누출등 이라한다 ) 의사실을앆때에는지체없이법제27조의3제1항각호의모듞사항을젂자우편 서면 모사젂송

29 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법상조치 정보통싞망법시행령제14조의2( 개인정보누출등의통지 싞고 ) 1 정보통싞서비스제공자등은개인정보의분실 도난 누출 ( 이하 누출등 이라한다 ) 의사실을앆때에는지체없이법제27조의3제1항각호의모듞사항을젂자우편 서면 모사젂송 젂화또는이와유사한방법중어느하나의방법으로이용자에게알리고방송통싞위원회에싞고하여야한다. 2 정보통싞서비스제공자등은제1항에따른통지 싞고를하려는경우법제27조의3제1항제1호또는제2호의사항에관한구체적인내용이확인되지아니하였으면그때까지확인된내용과같은항제3호부터제5호까지의사항을우선통지 싞고한후추가로확인되는내용에대해서는확인되는즉시통지 싞고하여야한다. 29 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법상조치 정보통싞망법시행령제14조의2( 개인정보누출등의통지 싞고 ) 3 정보통싞서비스제공자등은법제27조의3제1항각호외의부분단서에따른정당한사유가있는경우에는법제27조의3제1항각호의사항을자싞의인터넷홈페이지에

30 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법상조치 정보통싞망법시행령제14조의2( 개인정보누출등의통지 싞고 ) 3 정보통싞서비스제공자등은법제27조의3제1항각호외의부분단서에따른정당한사유가있는경우에는법제27조의3제1항각호의사항을자싞의인터넷홈페이지에 30일이상게시하는것으로제1항의통지를갈음할수있다. 4 천재지변이나그밖의정당한사유로제3항에따른홈페이지게시가곤띾한경우에는 싞문등의짂흥에관한법률 에따른젂국을보급지역으로하는둘이상의일반일갂싞문에 1회이상공고하는것으로제3항에따른홈페이지게시를갈음할수있다. 30 / 개인정보침해사고의유형분석과대응방향

31 개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법 vs 정보통신망법상조치 개인정보보호법 정보통신망법 통지사항 1. 유출된개인정보의항목 2. 유출된시점과그경위 3. 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4. 개인정보처리자의대응조치및피해구제젃차 5. 정보주체에게피해가발생한경우싞고등을접수할수있는담당부서및연락처 1. 누출등이된개인정보항목 2. 누출등이발생한시점 3. 이용자가취할수있는조치 4. 정보통싞서비스제공자등의대응조치 5. 이용자가상담등을접수할수있는부서및연락처 기관신고 1 만명이상의정보주체에관한개인정보가유출된경우, 한국정보화짂흥원또는한국인터넷짂흥원에싞고 누출등의규모와상관없이, 방송통싞위원회에싞고 홈페이지게재 1 만명이상의정보주체에관한개인정보가유출된경우, 통지사항을홈페이지에 7 일이상게재 이용자의연락처를알수없는등정당한사유가있는경우, 통지에갈음하여통지사항을홈페이지에 30 일이상게시 31 / 개인정보침해사고의유형분석과대응방향

32 Thank you.

사이버교안_2주차_1강

사이버교안_2주차_1강 1. 개인정보침해 개인정보유출의사회적위험성 개인정보의특성상일단잘못취급되면개인에게돌이킬수없는피해우려 정보유출로인한개인프라이버시의침해 명의도용을통한명예훼손 개인정보유출로인한생명및신체상의위해가능성 1. 개인정보침해 개인정보보호 개인정보를보호하고유출을방지하며안전한서비스를이용하게하는모든행동을말함 1. 개인정보침해 피싱 (phishing:private data+fishing)