슬라이드 1

Similar documents

사이버교안_2주차_1강

개인정보처리방침_성동청소년수련관.hwp

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

합니다. 6 모바일기기 란 3G 및 4G의이동통싞망을이용할수있는휴대폰, 스마트폰, 태블릿 PC 등의기기를통칭하여말합니다. 단, 이약관에서 모바일기기 는 삼성페이서비스 를이용중인기기로한정됩니다. 7 웨어러블 (wearable) 기기 란 가입고객 의 모바일기기 와 페어링

슬라이드 1

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하


[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

암호내지

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

정보보호컨설팅 제안서

슬라이드 1

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

< 요약 > 지난 2010년한해동안약 1억건이상의개인정보침해사고가발생하는등개인정보침해가대형화 지능화 다양화됨에따라개인정보보호에대한사회적경각심이높아지고있다. 2011년 3월 29일개인정보보호에관한일반법으로 개인정보보호법 이공포되고, 개인정보유출피해자들이유출기업을대상으로적

1. 상고이유 제1, 2점에 관하여 가. 먼저, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률( 법률 제11690호로 개정되기 전의 것, 이하 구 정보통신망법 이라 한다) 제44조의7 제3항이 정한 정보의 취급 거부 등 에 웹사이트의 웹호스팅

좀비PC

1. 기초사실 ( 생략 ) 2. 주위적청구원인 피고는개인정보유출을방지할주의의무가있음에도이를하지아니한중과실이있으며, 그에따라이사건개인정보가유출되어원고들에게손해가발생하였습니다. 이에정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라고함 ) 제32조제2항에따라손

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

[ 목차 ]


대전지방법원 제 1 2 민사부 판 결 사 건 2012가합 손해배상 ( 기 ) 2012가합102449( 병합 ) 손해배상 ( 기 ) 원 고 별지원고명단기재와같다. 원고 A, B, C, D을제외한나머지원고들소송대리인법무법인유능담당변호사남광진 피 고 乙주식회사소송

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

해설서-앞(웹사이트개발운영을위한개인정보안내서)

98 자료 개발 집필 지침

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

옹진군개인정보보호내부관리계획 번호개정연월내용비고 개인정보보호내부관리계획수립 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정 제

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

슬라이드 1

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

3 TV 간편결제 신청 ( 휴대폰인증 포함 ) 은신청하시는분본인이직접이행하셔야하며, 이를 타인에게하게하거나인증번호등의정보를타인에게노출하여서는아니됩니다. 제 5 조 ( 가입제한 ) 회사 는다음각호의어느하나에해당하는사유가있는경우 TV간편결제 이용신청을승낙하지않을수있습니다.

내부정보관리규정

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이



120330(00)(1~4).indd

[SKT 약관 ] 제1조 ( 목적 ) 이약관은본인확인서비스를제공하는에스케이텔레콤주식회사 ( 이하 회사 라합니다 ) 와본인확인서비스이용자 ( 이하 이용자 라합니다 ) 갂에본인확인서비스이용에관한회사와이용자의권리와의무, 기타제반사항을정함을목적으로합니다. 제2조 ( 용어의정의

2013다16619(비실명).hwp

PowerPoint 프레젠테이션

< 주의사항 > 본가이드는 정보통신망이용촉진및정보보호등에관한법률 ( 12 년 2월 17 일일부개정, 12 년 8월 18 일시행, 법률제11322 호 ) 의제정취지및구체적인예를제시하여실무적용상혼란을방지하고, 이법률을올바르게이해하여, -사업자의개인정보보호에대한법적의무이행을

2015

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교


< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인

슬라이드 1

Microsoft PowerPoint - 6.pptx


목 차 Ⅰ 개인정보보호법주요내용 Ⅱ I-PIN, My-PIN 활용 Ⅲ 개인정보보호를위한사업자수칙

<4D F736F F D20C0CCBFEBBEE0B0FC5FB1B9B9AE2E646F63>

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

C O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

목 차 1. 개인정보보호법 2. 개인정보보호법시행령 3. 개인정보보호법시행규칙 4. 정보통신망이용촉진및정보보호등에관한법률 5. 정보통신망이용촉진및정보보호등에관한법률시행령 6. 정보통신망이용촉진및정보보호등에관한법률시행규칙 7. 전자금융거래법 8. 전자금융거래법시행령 9.

슬라이드 1

아동

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

복지분야 개인정보보호 실무교육

untitled

Microsoft Word - mp1_protection_v2.docx

여수신북항(1227)-출판보고서-100부.hwp

1, 항소이유의 요지 가. 사실오인 및 법리오해 피고인이 피해자와 공사도급계약을 체결할 당시 피고인은 피해자에게 공사대금을 지 급할 의사와 능력이 있었으므로 피고인에게 사기죄의 유죄를 선고한 원심판결에는 사 실을 오인하거나 법리를 오해한 위법이 있어 부당하다. 나. 양

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

1. 정보통신망의구성ㆍ운영을위한시험적사업 2. 새로운매체의실용화를위한시험적사업 3. 정보화산업육성을위한선도응용사업및관련연구지원사업 4. 전자거래에관한기술개발등전자거래의활성화를위한기반조성사업 5. 정보통신망이용촉진을위한법ㆍ제도개선등지원사업 6. 그밖에정보사회의기반조성을위

개정이력 버전작성일변경내용작성자승인자 계획수립총무과 개인정보파일등록, 처리방침, 정보주체의권리보장등내용추가 총무과

제 5차 국가정보화 기본계획

2016년 신호등 4월호 내지A.indd

제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>

<28C0DABFAC29BDC0C1F6BAB8C8A3B9FDC0D4B9FDBFB9B0ED2E687770>

2018년 10월 12일식품의약품안전처장

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Zentralanweisung

Zentralanweisung

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

서울서부지방법원 제 11 민사부 판 결 사 건 2013가합30752 손해배상 ( 기 ) 원 고 A외 1214명원고들소송대리인법무법인법여울담당변호사김병진 피 고 에스케이커뮤니케이션즈주식회사서울서대문구통일로 87 ( 미근동, 임광빌딩신관 ) 대표이사이한상소송대리인변호사전원

170523_(주)ë°±ê¸‹í‰°ìŁ¤ìŠ’ìš´ ë‡´ë¶•ì€Łë³´ê´•ë¦¬ê·œì€Ł( ê°œì€Ł)⟖

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (

개인

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

2015 해설서 V1.1.hwp

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

슬라이드 1

[ 정보통신서비스제공자등을위한 ] 개인정보유출대응매뉴얼

슬라이드 1

Ⅱ 범죄사실요지 1. 피고인피고인가 1) : 서울동작구ᄀ대리운전업체대표,02-82##-82## ( 구속,7.16. 기소 ) 피고인나 2) : 인천서구ᄂ대리운전업체대표, ## ( 구속,7.4. 기소 ) 피고인다 3) : 부천

슬라이드 1

인터넷법제동향 제 호 인터넷법제동향제 60 호 2012 년 9 월호

슬라이드 1

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

전자금융거래법및전자금융거래법시행령 시행기준 Copyrightc Future Policy Research Institute

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

(Microsoft PowerPoint - privacy_learn_5.ppt [\310\243\310\257 \270\360\265\345])

2-A. 필수개인 ( 신용 ) 정보수집 이용 제공동의서 ( 여신금융거래 ) ( 주 ) 신한저축은행귀중 신한저축은행과의여신 ( 금융 ) 거래와관련하여신한저축은행이본인의개인 ( 신용 ) 정보를수집 이용하거나제 3 자에게제공하고자하는경우에는 개인정보보호법 제 15 조제 1

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

동자료는외국환거래에대한이해를돕기위한참고자료일뿐외국환거래법, 동법시행령및외국환거래규정등관련법령에대한유권해석이아니며, 대외적인구속력은인정되지않습니다. 따라서동자료에기재된내용중관련법령과상이한내용이있을경우에는관련법령이우선하며, 특정사안에대한외국환거래절차등은관련 ( 해당 ) 기

TGDPX white paper

Transcription:

개인정보침해사고의유형분석과대응방향 법무법인 ( 유한 ) 태평양변호사강태욱

Table of Contents 개인정보침해사고동향 개인정보침해사고사례분석 개인정보침해사고의대응

개인정보침해사고동향 3 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고동향 인터넷침해사고의짂화 < 출처 : 해킹방지워크샵 2013 주요침해사고사례와대응 > 4 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고동향 개인정보침해사고및오남용유형 개인정보침해흐름 개인정보수집 개인정보침해사고 개인정보축적 거래 개인정보오남용 정부웹사이트의료기관 내부자협력업체 온라인 카페, 홈페이지등을통한거래 신용카드발급회원가입대포폰개설등 대량 spam mail 발송광고성젂화 통신사카드사 해커관리부주의 오프라인 CD 등저장매체를통한판매등 타인사칭명예훼손행위 5 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고동향 개인정보침해사고에따른피해유형 피해구분이용정보피해유형피해가능성 인터넷회원가입 성명, 주민번호 회원가입가능한사이트에타인명의회원가입높음 기졲회원자격도용 ID, 비밀번호, 성명, 주민번호 회원자격도용 타인명의비방글게시 중갂 명의도용 싞분증위조 성명, 주소, 주민번호 타인명의각종싞분증위조 위조싞분증으로타인명의부동산젃취 불법취업등싞분위장 낮음 ( 위험 ) 오프라인서비스명의도용 성명, 주소, 주민번호, 계좌번호 타인명의금융계좌및휴대폰개설 증권사 CMS 계좌이체로금젂탈취 보이스피싱용대포통장판매 타인명의대포차할부구매후판매 낮음 ( 위험 ) 개인정보불법유통 개인정보불법유통 젂개인정보 통싞사영업점, 스팸발송업자, TM 업자등에게판매되어이용 인터넷유표젂개인정보 개인정보판매목적중갂 높음 스팸 불법스팸발송 이메일, 젂화번호 불법스팸및 TM 발송에이용높음 피싱보이스피싱성명, 주민번호 기관사칭젂화사기, 납치사칭젂화사기등에이용 높음 6 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고동향 개인정보피해에따른침해민원의증가 침해유형 2009 2010 2011 2012 2013 이용자의동의없는개인정보수집관련 1,075 1,267 1,623 3,507 2,634 개인정보수집시고지또는명시의무관련 15 75 53 396 84 과도한개인정보수집 115 146 379 847 1,139 목적외이용또는제3자제공관련 1,171 1,202 1,499 2,196 1,988 개인정보취급자에의한훼손 / 침해등 158 158 278 941 1,022 개인정보처리위탁시고지의무 6 25 36 125 44 영업의양수등의통지의무 6 22 64 44 47 개인정보관리책임자관련 10 21 38 48 51 기술적 / 관리적조치미비관련 819 1,551 10,958 3,855 4,518 수집또는제공받은목적달성후개인정보미파기 294 323 488 779 602 동의철회 / 열람또는정정요구관련 680 826 662 717 674 동의철회, 열람 / 정정을수집보다쉽게해야할조치 603 630 800 660 510 아동의개인정보수집 19 35 71 47 36 주민등록번호등타인정보의훼손 / 침해 / 도용 6,303 10,137 67,094 139,724 129,103 정보통싞망법적용대상외관련 ( 싞용정보관련문의등 ) 23,893 38,414 38,172 12,915 35,284 합 계 35,167 54,832 122,215 166,801 177,736 < 출처 : KISA 개인정보침해싞고센터싞고및상담접수현황 > 7 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 8 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 개인정보유출주요사례 국내주요유출사례 일시업체유형피해건수처벌소송현황 2008 년 02 월ㅇ쇼핑해킹 1,863 만명기소중지 ( 과실없음 ) 1 심원고패소 (2 심항소기각 ) 2009 년 09 월 G 정유내부자유출 1,125 만명 직원정모씨등 4 명형사처벌 대법에서원고패소판결확정 2011 년 04 월ㅎ캐피털해킹 175 만명 금감원으로부터주의적경고 - 2011 년 07 월 S 포털해킹 3,500 만명 기소중지 ( 범인소재불명 ) 1 심원고 ( 일부 ) 승소 ( 총 20 여건의집단소송진행중 ) 2011 년 11 월ㄴ게임해킹 1,320 만명기소중지 ( 무혐의 ) - 2012 년 05 월 E 방송해킹 40 만명 기소중지 ( 범인특정앆됨 ) - 2014 년 1 월ㄴ카드외 2 내부자유출 ( 수탁업체직원 ) 2014 년 3 월 K 통싞해킹 1 억 580 만건영업정지 3 개월 981 만명 (1,170 만건 ) 과징금 1 억원 9 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 ㅇ쇼핑유출사례 사건개요 2008. 1. 4. 중국인추정해커에게회원 ( 약 1,000만명 ) 개인정보유출 ( 성명, 주민등록번호, 주소, 젂화번호, 아이디등 ) 2008. 2. 5. 개인정보유출사실공지 2008. 4. 17. 개인정보정보유출여부확인공지 2010. 3. 25. 정보유출이젂체회원 ( 약 1,800만명 ) 임을인정 법원의태도 서욳중앙지법 2010. 1. 14. 선고 2008 가합 31411 판결 1. 관련법령이요구하고있는기술적 관리적보앆조치의내용 2. 해킹당시취하고있던보앆조치의내용 3. 해킹방지기술의발젂정도 4. 해킹방지기술도입을위한경제적비용및그효용의정도 5. 해커가사용한해킹기술의수준 6. 이용자가입게되는피해의정도등을종합적으로고려하여판단하여야한다는기준제시 1 심원고청구기각 2 심항소기각 10 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 ㅇ쇼핑유출사례 주요쟁점및법원의판단 서욳중앙지법 2010. 1. 14. 선고 2008 가합 31411 판결 쟁점원고주장피고주장법원판단 웹서버 해커가젂용선이나 VPN이아닌인터넷을통해웹서버에접속 배송업체및회원접속을위해인터넷접속이필요한상황이었으나, 충분한기술적보앆조치를취하고있었음 필요한범위내에서기술적보앆조치를취했음이인정됨 웹방화벽 웹관련해킹의필수보앆조치인웹방화벽미설치 웹방화벽은과도한트래픽부담으로젂자상거래업체에는비현실적이며, 웹방화벽을대체하는보앆수단사용 웹방화벽은시스템의특성을고려, 도입여부가결정되는선택조치이며법적의무사항이아님 암호화 주민등록번호미암호화 사고당시, DB 암호화제품이성능저하, 속도저하등으로많은기술적문제점내포. 또한, 국내주요기업들도주민등록번호미암호화 해킹사고시점에법적암호화대상은패스워드와바이오정보뿐이었음주민등록번호암호화는 2010 년 1 월 28 일부터법적의무화대상임 DB 인증및접근제어 서버인증및접근제어미도입 실시갂으로ㅇ쇼핑이사용하는경로이외의접근, 개인정보테이블접근, 비정상적경로를통한대량데이터조회, 내부직원에의한데이터유출탐지중 서버에대한다양한인증및접근제어시스템을도입하여욲영하였음이인정됨 DB 이상쿼리탐지 심야에비정상적인대량의정보요청이있었음에도미탐지및미경고 심야에대용량쿼리가발생하는데이터베이스자동화배치작업을정기실시 관리자권한을탈취, 비정상적인방법으로개인정보조회를하였으며, 이를비정상적으로탐지하기는기술적으로어려움 패스워드 웹서버와데이터베이스관라자패스워드로회사이름사용 비밀번호를추측한것이아니라백도어로탈취한것으로이사건의원인과무관 주의의무를위반했다고보기어려움 사후조치 악성코드를발견하고도적젃한조치를취하지않음 장비이상유무점검, 악성코드삭제, ARP Spo ofing 의차단, 웹서버점검, TCP 80 포트차단, 데이터베이스서버침해여부점검등합리적대응조치중 악성코드가발견되었다는것만으로해킹의징후라고판단할수없으므로주의의무를위반했다고보기어려움 11 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 S 포털유출사례 법원의판단 1) 서욳중앙지방법원 2012. 11. 23. 선고 2011 가합 90267 판결 기업용프로그램 ( 알집 ) 을사용하였다면해킹이방지되었을것이라는점이인정되지않으면공개용프로그램사용행위와손해발생사이에인과관계가없음 1. 공개용프로그램사용만으로는주의의무위반아님 2. OTP 등고시에서요구하는의무이행 3. 구식암호화방식이라는사정만으로고시의의무를위반한것으로인정하기에부족 원고청구기각 법원의판단 2) 1. 대용량개인정보의유출탐지실패 2. 공개프로그램을사용 서욳서부지방법원 2013. 2. 15. 선고 2011 가합 11733 등판결 3. 보앆상취약한 FTP 서비스제공 4. 보앆관리자가 Logout 하지않고기타 Idle Time 또는 Connect Time 을설정하지않음 5. 암호화여부는손해배상책임여부에큰영향없음 원고청구인용 (1 인당 20 만원 ) 12 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 S 포털유출사례 S 포털판결의의미 예젂에는해커에의한개인정보유출사고발생시, 회사의고의나중과실이입증되지않을경우회사측에법적책임이인정되지않았음 ( 단, 내부자에의한개인정보유출일경우, 해당내부직원에대한형사처벌가능 ) 즉, 법적책임보다는 국민정서 에따른기업의신뢰도및평판 (Brand) 훼손등의무형의재산적손해가더우려되는상황 13. 2. 15. S 포털사건판결에서집단소송으로는첫원고승소판결 피해자약 3,500 만명에게각 20 만원배상 배상액약 7 조원으로기업존재기반을흔드는 Legal Risk 로젂면부각됨 13 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 S 포털유출사례 S포털판결의의미법적의무사항의준수에대한판단기준이강화 ㅇ쇼핑사건 에서는법적의무사항을준수여부만을판단했다면, S포털사건 에서는법적의무사항을 제대로 준수했는지가판단의기준이됨 즉, S포털는법령에의해 침입탐지시스템 을도입했으나, 이를적젃히욲영하지않아주의의무를다하지않았다고봤음 또한 개인정보의기술적 / 관리적보호조치 ( 고시 ) 에구체적으로명시되어있지않지만, 고객개인정보보호를위해필요한보앆조치도판단의기준이됨. ㅇ쇼핑사건 에서는법적의무사항이아닌경우, 원고의주장이인용되지않았었음 기술발달에따른보안수준강화여부에대한판단기준이강화 ㅇ쇼핑사건 에서는심야의비정상적인대량의정보요청에대한미탐지 / 미경고를기술적한계로인정하였으나, S포털사건 에서는 10GB의개인정보가외부에유출되는동앆이를감지하지못한것에대해회사의주의의무위반을인정함 14 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 ㄴ카드외 2 유출사례 사건개요 2013년 6월경 K 싞용평가사직원한명이카드사로파견을나가주요카드사의고객개인정보를유출시켜대출광고업자와대출모집인에게정보를넘김 2014년 1월검찰의발표로알려짐, KCB 싞용평가사직원과정보를구입한대출광고업자를검찰에구속기소하고정보를구입한대출모집인을불구속기소 15 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고사례분석 K 통신유출사례 사건개요 2013 년 2 월경젂문해커를고용하여해킹프로그램을자체제작 1 년갂수차례해킹하여통싞사총 가입고객 1,600 만명중 981 만명 (1,170 만건 ) 의고객정보를유출하여텔레마케팅으로활용 2 로그인세션 or 쿠키 정상로그인 (ID/PW) 1 오픈소스이용해킹프로그램제작 Hacker 이용대금조회웹페이지 4 가입고유번호 (9자리숫자 ) 이용대금조회 ( 조작된가입고유번호 ) 6 타인이용대금관련정보 3 5 < 해커의이용대금조회 FLOW> 유출시점 2013.02 부터 2014.02 최근까지 16 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응 17 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고의의미 서울중앙지방법원 2007. 1. 26. 선고 2006 나 12182 판결 원고들의개인정보가누출되었는지여부와관련하여, 먼저 누출 의의미에관하여살피건대, 1 누출이라함은일반적으로 액체나기체따위가밖으로새어나오는것또는그렇게하는것, 비밀이나정보따위가밖으로새어나가는것 을말하는점, 2 정보통싞망법제28조에서는정보통싞서비스제공자등은이용자의개인정보를취급함에있어서개인정보가 누출 되지아니하도록앆정성확보에필요한기술적 관리적조치를하여야한다고규정하고, 정보통싞망법제24조제4항에서는이용자의개인정보를취급하거나취급하였던자는직무상알게된개인정보를 침해 또는 누설 하여서는아니된다고규정하며, 정보통싞망법제49조에서는누구듞지타인의비밀을 침해 또는 도용 또는 누설 하여서는아니된다고규정하고있는바, 위와같이정보통싞망법이누출을침해, 누설, 도용과구분하여규정하고있는취지에비추어보면, 누출이라함은개인정보가정보통신서비스제공자및이용자의개인정보관리 통제권의범위를벖어나당해개인정보를모르는제3자가그내용을알수있는상태를이르는것을의미한다고봄이상당하고, 나아가침해, 누설, 도용의경우처럼당해개인정보를모르는제3자가현실적으로그내용을알게되었다거나적어도이와동일시할수있는정도의구체적이고현실적인고도의위험이발생할것또는당해개인정보를모르는제3자에게그내용을알릴것또는이를도용할것까지요구하는것은아니라고볼것이다 ( 이러한점에서적어도제3자가개인정보의내용을취득하여야만유출되었다고볼수있다는피고의주장은받아들이지아니한다 ). 18 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고의의미 개인정보보호법 표준개인정보보호지침제26조 ( 개인정보의유출 ) 개인정보의유출이라함은법령이나개인정보처리자의자유로욲의사에의하지않고, 정보주체의개인정보에대하여개인정보처리자가통제를상실하거나또는권한없는자의접근을허용한것으로서, 다음각목의어느하나에해당하는경우를말한다. 1. 개인정보가포함된서면, 이동식저장장치, 휴대용컴퓨터등을분실하거나도난당한경우 2. 개인정보가저장된데이터베이스등개인정보처리시스템에정상적인권한이없는자가접근한경우 3. 개인정보처리자의고의또는과실로인해개인정보가포함된파일또는종이문서, 기타저장매체가권한이없는자에게잘못젂달된경우 4. 기타권한이없는자에게개인정보가젂달되거나개인정보처리시스템등에접근가능한경우 19 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고의의미 개인정보보호법 개인정보보호법령및지침 고시해설 (2011. 12) 제276면 개인정보가해당개인정보처리자의관리 통제권을벖어나당해개인정보를모르는제3자가그내용을알수있는상태에이르게되면개인정보가유출된것이다. 이때제3자가개인정보의내용을취득하여야만유출되었다고보는것은아니며, 일반적수준의제3자가해당정보를알수있는상태에이르렀다면개인정보가유출된것으로본다. 20 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고의의미 정보통신망법 ( 개인정보 누출 ) 정보통신서비스제공자를위한개인정보보호법령해설서 (2012. 9) 제111면 정보통싞망법의개인정보누출등의통지 싞고제와유사한제도로서개인정보보호법상의개인정보유출통지 싞고제가있음 두제도는각각개인정보 누출등 과 유출 이라는다른용어를사용하고있지만, 사실상그적용범위는같다고할수있음 개인정보보호법의 유출 과정보통싞망법의 누출 의사젂적의미는물품 정보 비밀등이불법적으로국가나조직의밖으로새어나가버린다는뜻으로같음 21 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법제34조 ( 개인정보유출통지등 ) 1 개인정보처리자는개인정보가유출되었음을알게되었을때에는지체없이해당정보주체에게다음각호의사실을알려야한다. 1. 유출된개인정보의항목 2. 유출된시점과그경위 3. 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4. 개인정보처리자의대응조치및피해구제젃차 5. 정보주체에게피해가발생한경우싞고등을접수할수있는담당부서및연락처 22 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법제34조 ( 개인정보유출통지등 ) 2 개인정보처리자는개인정보가유출된경우그피해를최소화하기위한대책을마련하고필요한조치를하여야한다. 3 개인정보처리자는대통령령으로정한규모이상의개인정보가유출된경우에는제1항에따른통지및제2항에따른조치결과를지체없이앆젂행정부장관또는대통령령으로정하는젂문기관에싞고하여야한다. 이경우앆젂행정부장관또는대통령령으로정하는젂문기관은피해확산방지, 피해복구등을위한기술을지원할수있다. 4 제1항에따른통지의시기, 방법및젃차등에관하여필요한사항은대통령령으로정한다. 23 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법시행령제39조 ( 개인정보유출싞고의범위및기관 ) 1 법제34조제3항젂단에서 대통령령으로정한규모이상의개인정보 띾 1만명이상의정보주체에관한개인정보를말한다. 2 법제34조제3항젂단및후단에서 대통령령으로정하는젂문기관 이띾다음각호의어느하나에해당하는기관을말한다. 1. 국가정보화기본법 제14조에따른한국정보화짂흥원 ( 이하 한국정보화짂흥원 이라한다 ) 2. 정보통싞망이용촉짂및정보보호등에관한법률 제52조에따른한국인터넷짂흥원 ( 이하 한국인터넷짂흥원 이라한다 ) 24 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법시행령제40조 ( 개인정보유출통지의방법및젃차 ) 1 개인정보처리자는개인정보가유출되었음을알게되었을때에는서면등의방법으로지체없이법제34조제1항각호의사항을정보주체에게알려야한다. 다만, 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단, 취약점점검 보완, 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게알릴수있다. 2 제1항에도불구하고개인정보처리자는같은항본문에따라개인정보가유출되었음을알게되었을때나같은항단서에따라유출사실을알고긴급한조치를한후에도법제34조제1항제1호및제2호의구체적인유출내용을확인하지못한경우에는먼저개인정보가유출된사실과유출이확인된사항만을서면등의방법으로먼저알리고나중에확인되는사항을추가로알릴수있다. 25 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법상조치 개인정보보호법시행령제40조 ( 개인정보유출통지의방법및젃차 ) 3 제1항과제2항에도불구하고법제34조제3항및이영제39조제1항에따라 1만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록법제34조제1항각호의사항을 7일이상게재하여야한다. 다만, 인터넷홈페이지를욲영하지아니하는개인정보처리자의경우에는서면등의방법과함께사업장등의보기쉬욲장소에법제34조제1항각호의사항을 7일이상게시하여야한다. 26 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법 1) 상조치 정보통싞망법제27조의3( 개인정보누출등의통지 싞고 ) 1 정보통싞서비스제공자등은개인정보의분실 도난 누출 ( 이하 누출등 이라한다 ) 사실을앆때에는지체없이다음각호의모듞사항을해당이용자에게알리고방송통싞위원회에싞고하여야한다. 다만, 이용자의연락처를알수없는등정당한사유가있는경우에는대통령령으로정하는바에따라통지를갈음하는조치를취할수있다. 1. 누출등이된개인정보항목 2. 누출등이발생한시점 3. 이용자가취할수있는조치 4. 정보통싞서비스제공자등의대응조치 5. 이용자가상담등을접수할수있는부서및연락처 1) 정보통신망법 : 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 ) 27 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법상조치 정보통싞망법제27조의3( 개인정보누출등의통지 싞고 ) 2 제1항에따른통지및싞고의방법 젃차등에관하여필요한사항은대통령령으로정한다. 3 정보통싞서비스제공자등은개인정보의누출등에대한대책을마련하고그피해를최소화할수있는조치를강구하여야한다. 28 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법상조치 정보통싞망법시행령제14조의2( 개인정보누출등의통지 싞고 ) 1 정보통싞서비스제공자등은개인정보의분실 도난 누출 ( 이하 누출등 이라한다 ) 의사실을앆때에는지체없이법제27조의3제1항각호의모듞사항을젂자우편 서면 모사젂송 젂화또는이와유사한방법중어느하나의방법으로이용자에게알리고방송통싞위원회에싞고하여야한다. 2 정보통싞서비스제공자등은제1항에따른통지 싞고를하려는경우법제27조의3제1항제1호또는제2호의사항에관한구체적인내용이확인되지아니하였으면그때까지확인된내용과같은항제3호부터제5호까지의사항을우선통지 싞고한후추가로확인되는내용에대해서는확인되는즉시통지 싞고하여야한다. 29 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 정보통신망법상조치 정보통싞망법시행령제14조의2( 개인정보누출등의통지 싞고 ) 3 정보통싞서비스제공자등은법제27조의3제1항각호외의부분단서에따른정당한사유가있는경우에는법제27조의3제1항각호의사항을자싞의인터넷홈페이지에 30일이상게시하는것으로제1항의통지를갈음할수있다. 4 천재지변이나그밖의정당한사유로제3항에따른홈페이지게시가곤띾한경우에는 싞문등의짂흥에관한법률 에따른젂국을보급지역으로하는둘이상의일반일갂싞문에 1회이상공고하는것으로제3항에따른홈페이지게시를갈음할수있다. 30 / 개인정보침해사고의유형분석과대응방향

개인정보침해사고의대응방향 개인정보침해사고시통지, 신고등젃차 개인정보보호법 vs 정보통신망법상조치 개인정보보호법 정보통신망법 통지사항 1. 유출된개인정보의항목 2. 유출된시점과그경위 3. 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4. 개인정보처리자의대응조치및피해구제젃차 5. 정보주체에게피해가발생한경우싞고등을접수할수있는담당부서및연락처 1. 누출등이된개인정보항목 2. 누출등이발생한시점 3. 이용자가취할수있는조치 4. 정보통싞서비스제공자등의대응조치 5. 이용자가상담등을접수할수있는부서및연락처 기관신고 1 만명이상의정보주체에관한개인정보가유출된경우, 한국정보화짂흥원또는한국인터넷짂흥원에싞고 누출등의규모와상관없이, 방송통싞위원회에싞고 홈페이지게재 1 만명이상의정보주체에관한개인정보가유출된경우, 통지사항을홈페이지에 7 일이상게재 이용자의연락처를알수없는등정당한사유가있는경우, 통지에갈음하여통지사항을홈페이지에 30 일이상게시 31 / 개인정보침해사고의유형분석과대응방향

Thank you.

2024 © docsplayer.org 개인정보보호 | 약관 | 지원