1987 경북대학교통계학졸업 2015 고려대정보보호대학원정보보호젂공석사졸업 1987 STM( 現. LGCNS) 보앆팀입사 1998 LG 그룹 IT 보앆감사팀장 2000 시큐어소프트보앆컨설팅사업본부상무 2004 이니텍 보앆컨설팅사업본부상무 2008 롯데정보통싞통합젂산센터부문장, 상무 2008~2014.2 롯데그룹정보보호위원회갂사 2014.3~ 롯데카드정보보호부문장 CISO, 상무 Book: 2012 개인정보관리사수험서 Privacy Dictionary 공저 수상 : 2011 대핚민국사이버앆젂대상국무총리표창 롯데카드 ( 주 ) CISO 최동근상무정보보호부문장 롯데카드 ( 주 ) CISO 정보보호부문장 前침해사고대응팀협의회 (ConCERT) 운영위원 (2008~2013) 前스마트정부오픈포럼위원 ( 핚국정보화짂흥원, 2010~2013) 前국가인적자원개발컨소시움컨설팅붂과위원장 (KISA,2013~2014) 現핚국 CPO 포럼위원 (2009~ ) 現핚국 CISO 협의회위원 (2010~ ) 現금융보앆포럼운영위원 ( 금융보앆원, 2010~ ) 現핚국정보처리학회이사 (2012~ ) 現핚국정보보호학회부회장 (2011~ ) CISO: Chief Information Security Officer, CPO: Chief Privacy Officer
CISO 2015. 9. 7
정보보호사고사례 협력협력내부자에업체에협력 / 퇴직자에업체에업체내부자에의한정보의한유출의한유출정보유출 KT, 한국백화점 CJKT, 대한통운개인정보 SC개인정보협력업체은행유출사고 택배기사씨티은행유출사고직원이 (II) 배송정보고객정보멤버스카드 (2014 (I) 경찰청년조회 3유출수사발표월가입 ) 프로그램 (2013.12.11) 신청서를자료 ID/PW (2012 유출년제공, 7월, ) 협력업체 2013년및2 월부터내부직원이최근까지고객정보를 KT 홈페이지를유출 (USB, 해킹하여출력 ) 약 1천만개인정보유출유출제공받은사실로 - 해킹심부름센터금전프로그램요구업주제작협박조회, 800개인정보만브로커에유출판매 이름,'- 연락처파로스손해배상,' 대출액라는송수신청구소송, 대출금리데이터 1, 심에서대출만기일자분석프로그램을 1인당등10유출하여만원씩이용하여배상불법유출대출활용 전산프로그램 전문해커(2 및만개발텔레마케팅 8천여명업무를, 업체 29 맡은억배상임원외주업체 () 전직해커직원의) 등에프로그램의한조작으로조직적인보안해제계획범죄 고객정보출력및인쇄시보안프로세스통제미흡 백화점 1. 회원가입신청서폐기지시 CJ대한통운택배기사강모 (49) 씨등 2명 3. KT 홈페이지해킹 1. 금전제공 (260만원해커 ) 김모 2. (29) 아이디씨 / 비밀번호공유 C사직원김모씨 4. 금전요구협박 5. 협상시도 (200억원요구 ) 6. 경찰에신고1. 해킹제안 4. 성공대가로최소 2.5억지급 2. 금전제공 3. 회원가입신청서판매 2. 해킹( 금전프로그램및유흥개발제공 ) 대출모집인 (14만원) 대출 (20만부모집인 ) 5. 고객개인정보판매심부름센터업주송모 (32) 씨등 8명개인정보수집브로커피의자일당 1 프로그램조작을통해 3. 배송정보조회 1 대출채무자정보 SC은행의 USB로(382 고객정보회 7. ) 피의자유출일당 4. 고객검거개인정보6. 유출 500만명개인정보범행공모판매 A4( 친구용지 ) 1,100장출력씨티은행개발용역직원 10만 4천여명내부직원 3만 4천여명고객정보불법활용박모씨 C사직원김모씨대출정보불법활용텔레마케팅업체임원정모 (38) 씨휴대전화대리점 3곳 5. 신규고객유치 C 사 - 2 -
정보보호사고사례 - 퇴사자의 IPCC 접속및고객정보유출 SM 사 IPCC 유지보수위탁 IPCC 고객정보조회및상담 퇴직계정으로로그인 고객정보유출 가입자 회원가입 A 유통 TM 업무위탁 아웃소싱 TM 사 상담원퇴직 퇴직상담원 - 3 -
정보보호사고사례분석 대상 사고개요 사고원인 코웨이내부직원 198 만명개인정보유출 ( 경쟁업체유입 ) 국민연금기금운영대외비자료유출 ( 자산운용회사유입 ) 내부직원유출 내부직원유출 카페베네 삼성카드 SK 하나카드 KT 조선일보 한국전력기술 한화손해보험 메리츠화재 주요정부, 언론기관 홈페이지해킹, 변조 회사내마케팅직원에의해고객정보유출 개인정보유출로 KT 주식 5% 급락및과징금 7 억 5,300 만원부과 전산망해킹 ( 실패 ), 이메일해킹공격 퇴직자 2 명에의해한국형신형경수로설계일부유출 자동차보험현장출동지원시스템해킹, 15 만여건고객정보유출, 16 개월간미신고 은폐 내부직원에의한 16 만여보험가입개인정보유출 청와대홈페이지및주요정부기관사이버공격 외부해킹내부직원유출대리점. 협력업체기술적공격내부직원유출외부해킹내부직원유출외부해킹 - 4 -
보안위협주체 주요정보들에대핚위협주체 협력업체외주위탁업체정보유출 목표대상 내부자정보유출 해커 출입통제접근통제 사용자 PC 기업기밀정보 내부중요시스템 개발자유출 ID : xxx PW : 123 개인정보 바이러스등악성코드 고객정보탈취등 - 5 -
정보주체와동기 정보유출유형분석 (2005 년 ~ 2014 년 ) 국정원 퇴직자및외부협력업체, 수탁사임직원 (72%) 정보유출 / 주체 정보유출 / 동기 - 6 -
수탁사에대한법적근거 1. 법적근거 가. 개인정보보호법제26조 ( 업무위탁에따른개인정보의처리제한 ) - 안정성확보조치등을정기적 ( 최소년 1회이상권고 ) 으로조사 점검하여야함파기위반제공위반나. 정보통신망이용촉진및정보보호에관한법률제25조 ( 개인정보의취급위탁 ) 수집 - 수탁사의및목적달성개인정보후 개인정보 ( 영상 ) 처리등정기적으로조사 점검하여야함미파기불법제공 개인정보다. 신용정보의삭제요구이용불응및보호에관한법률제17조 ( 수집 조사및처리의 개인정보위탁 ) 위탁업체관리미흡라. 사규 개인정보보호지침 제51조 ( 개인정보취급위탁관리 ) 영업양도시 - 년 1회이상수탁자에대한실태점검을수행하고그결과를책임자에게보고고지미흡 - 7 -
정보유출이기업에미치는영향 개인정보유출 정보주체의배상소송 고객이탈 잠재고객외면 매출감소주가하락신뢰저하 경쟁사의비방대상 - 8 -
인식의차이 민간기업의정보보호에대한인식부족으로정보보호분야의투자등이저조하기 때문에정부는각종규제를통해정보보호강화를의무화하는추세 기업의인식 ( 정보보호지출을하지않는이유 ) 정부및감독기관의정책 순위내용비율 1 보안사고로인한피해가없어서필요성없음 59.5% 2 정보보호에관심없음 23.4% 3 예산부족 (ROI 확보미흡 ) 23.4% 4 정보보호에관한관심부족 11.7% 5 이미충분히투자했음 4.2% 중복응답포함 출처 : 한국정보보호진흥원 (KISA) 정보보호실태조사 - 9 -
인식 vs 행동 내부자위협으로인한위험의이해및최소화 인식 VS. 행동 : 한국사용자의위험한행동 IT 부서의승인을받지않은채새로운앱을사용하는것이잘못된행동임을알고있습니다. 여전히새로운앱을사용하고있다. 출처가검증되지않은이메일여는것이대단히위험한행동임을알고있습니다. 검증되지않은이메일을열고있습니다, 출처 : 블루코트코리아 `15.6.23(TheBlue Coat Global Cyber Security Study 2014) - 10 -
인식의차이 기업보안의문제점은? 1. 보안을단순한몇가지지침으로해결하려함 2. 보안을단순히보안솔루션구매로만해결하려함 3. 보안을전문보안업체에게만일임하려함 기업내부임직원의정보보호인식, 조직구성, 활동의조화가필요 희망은? 현실은!! Security 교집합이없는존재 - 11 -
조직내누가정보보호를추진해야하나? CIO(Chief CSO(Chief Information Security Officer) N 기업의사의정보보안관리정보보안을담당하는상태중역 CSO N 사의역할전산망에서수행이어려운프로그램이유삭제명령을내린노트북의주인은 협력업체인 IT 부서로부터 I 기업독립되어직원있지못함 IT부서에비해규모가작음 이직원은이노트북을들고농협내부와외부로수시로드나듬. CIO에비해 CSO의위치가낮음 협력업체직원이빠르고쉽게업무를진행하도록관리하는방식 CSO 가 CIO 나현업부서의임원들을견제하기힘듦 CIO 는이러한관행을통제하기어려움 최고경영자 (CEO) 가 CIO가정보보안을최소한의역할을해주어야함책임지는것은적절하지않음. CIO - 12 -
愚問賢答 우문현답 - 14 -
우리기업 ( 조직 ) 은... 우문현답 우리조직의정보보호범위는어디까지일까? 어느수준까지정보보호 ( 개인정보보호 ) 대응을하여야하는걸까? 우리조직의정보보호 Issue는어떤것들이있을까? CEO, CIO 및他임원들과 CISO와의관계는우리조직의정보보호수준을높이는데매우잘소통하는가? CISO (Chief Information Security Officer) - 15 -
정보보호문제 (Issue) 는... 우문현답 우리조직의정보보호 Issue 는... 어떤것들이있을까? 누가앞장서해결하여야하는걸까? 정보보호인력, 투자를비용으로여기시나요? 정말로, 정보보호와편리성, 효율성등은반비례하는가? 우리조직은보앆성검토를위핚인력, 장비등준비를갖추고있을까요? - 16 -
정보보호문제 (Issue) 는... 정보보호투자는비용?? 이라인식이있어, 투자를꺼리게된다. IT 정보보호를통핚비용젃감 싞청서등원본파기, 탈회회원 DB내정리 싞청서작성을패드로활용 저장창고비용젃감, 문서창고공갂축소비용젃감, 싞청서보관, 이동시정보보호문제해소 정보보호에대핚투자는기본인프라이다. 정보보호활성화는편리성, 효율성과는반비례핚다...?? 보앆에대핚불편핚시각을바꾸자! ( 예 ) 갂편결제시스템은사용자에게편리성을, 그리고보앆성을강화핛수있다. - 17 -
현장이중요하다... 우문현답 현장의우리조직의직원뿐소리를정보보호아니라직접가서, 파견직현장은듣고,, 외주인력어디까지정보보호, 프로젝트일까이슈를? 적어인력들에보았는가대핚? 보앆관리방앆은 - 현장에서의적젃하다고보고만받고관리자생각하십니까, 챙긴 ( 적이책임자없다면?) 는정보보호에, 현장은정보보호가대해얼마나되고알고있을까있으며?, 정보보호 - 사고위수탁현장은대응, 업체들에時어떻게대핚하는지정보보호알고점검있을까, 짂단?, Audit, 교육지원등은충붂하다? 고객접점 현장에서의 외부업체인력을직원자체적으로채용핛때정보보호는제대로준수될수있을까? 위수탁업체임직원 외부프로젝트개발인력 고객 - 18 -
답을찾아서... 우문현답 그럼무엇을하여야하는걸까? 어떻게하여야하는것일까? 정보보호는매년투자를다시해야하는것인가? 모든임직원이정보보호에대해본인의일처럼책임감을가지고일하고있을까? - 마케팅, 리스크붂석, 개발, 현업비즈니스, 홍보, 총무, 인사, 재무등등 조직의컴플라이언스준수는어느조직이맡아야하는것인가? - 19 -
감사합니다. 롯데카드 ( 주 ) 최동근상무 / 정보보호부문장, CISO : dkchoi@lottecard.co.kr, dkchoi1@daum.net : 010-3471-3900