개인정보유출사례로본 개인정보의보호 2014. 3. 19. 이재욱미국변호사 Copyright c 2014 Yulchon LLC. All Rights Reserved.
목차 1. 국내정보유출사례 2. 정보유출과기업의책임 3. 해외정보유출사례 4. 사례로본정보유출에대한대응 3 7 12 21
국내정보유출사례
카드사정보유출 출처 : SBS TV Morning WIDE (2014. 1. 9) 4
의사협회등개인정보유출 총 1 천 700 만건 출처 : 채널 A (2014. 2. 27) 5
카드결제기개인정보유출 총 1 천 200 만건 출처 : 뉴스와이 (2014. 3. 5) 6
사태이후변화
IT 사고 _ 기업의최대 Risk 개인정보유출사고발생社 총 58 개 과태료 13 개 ( 총액 9,439 만원 ) 시정조치 ( 경고 주의 ) 무징계 14 개 31 개 개인정보유출사고기업의최대 Risk (2009 년 ~ 2013 년금융권제재통계 ) LG 전자 옥션 (1,080 만 ) GS 칼텍스 (1,100 만 ) SK 컴즈 (3,500 만 ) SC 제일 / 씨티은행 의사협회 30~70 만원 원고패소 20 만원 SC 제일행장교체 씨티 3 개카드사사고 경영진교체 3 개월영업정지 8
규제의강화 11.10 月 5.5.7 규정 ( 전자금융감독규정 ) 13.05 月 CEO 확인및서명 ( 전자금융거래법개정 ) 13.07 月 금융전산내부통제및 CEO 책임강화 ( 금융전산보안강화종합대책 ) 13.08 月 CEO 또는임원징계권고 ( 개인정보보호법개정 ) 13.11 月 매출액 1% 이하과징금부과 ( 정보통싞망법개정안입법예고 ) 14.01 月 금융회사정보관리및 CEO 책임강화 ( 금융회사고객정보유출재발방지대책 14.1 月 ) 14.03 月 금융회사및 CEO 책임강화 ( 금융붂야개인정보유출재발방지종합대책 14.1 月 ) 9
규제의강화 2014. 3. 10. 금융위원회, 금융분야개인정보유출재발방지종합대책 1 금융회사의정보수집최소화및보관기갂 5 년으로단축 2 주민등록번호최초거래시에만수집및암호화보관 3 정보제공시필수사항에대한동의만으로계약체결되도록전면개편 4 5 금융회사의개인정보이용 제공현황을조회하고, 영업목적전화에대한수신거부 (Do-not-Call) 등록등을위한시스템구축 임원등의정보보호 보안관련책임및금전적 물리적제재대폭강화 6 금융전산보안전담기구설치등을통해금융회사의보안통제강화 7 정보유출시대응매뉴얼 (Contingency Plan) 마련및비상대응체계구축 10
집단소송의대형화 판결일자사건명원고수유출건수법률적쟁점 2007.1.26. 2007.11.27. 2008.11.25. 2012.12.26. 2013.5.2. 엔씨소프트 국민은행 LG 전자 GS 칼텍스 이베이코리아, 인포섹 인정된위자료 5 명 54 만명유출되지않고유출의위험에처한이용자의손해배상도인정 10 만원 1026 명 32,277 명 259 명 약 4 만명 약 14 만명 3,000 여명 1,125 만명 1,860 만명 2014.1.9 카드 3 사약 10 만명 1 억 4 백만명 출처 : 2014. 2. 16. 김기식의원보도자료 은행이서비스이용자들에게이메일을발송하는과정에서실수로이용자들의성명, 주민등록번호, 이메일주소등개인정보를수록한텍스트파일을첨부한사안 -LG 전자가당시의기술수준에비추어보더라도보관중인개인정보의분실, 도난, 누출등방지에필요한보안조치를강구하여야할주의의무를위반 - 유출될가능성만으로는손해배상인정하지않음 모두압수, 임의제출되었거나폐기되었다는점에서개인정보유출로인하여위자료로배상할만한정싞적손해가발생하였다고보기어렵다고판단 중국해커가 4 차례에걸쳐옥션의웹서버중하나에침입하여피해자들의이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호등개인정보를자사컴퓨터로내려받아전체회원의개인정보가유출된사안에서옥션측의귀책사유를인정하지않은사안 외부전산인원이카드 3 사사소유하고있는고객의이름, 주민등록번호, 주소, 전화번호, 싞용카드정보등을외장하드디스크로내려받아유출한건 -20 만원 ( 주민등록번호유출 ) -10 만원 ( 주민등록번호유출안됨 ) 30 만원 기각 기각 소송중 11
해외정보유출사례
주요국개인정보보호법제동향 국가법률특징 EU General Data Protection Regulation 개인정보의처리와관련된개인의보호 에만두지않고 개인정보의자유로욲이동 도중요한목표 미국 Privacy Act 연방차원에서프라이버시보호이전의개인정보그자체를보호의대상으로삼는법을특별히제정하고있지는않음 일본 미 -EU 행정기관이보유한개인정보의보호에관한법률 개인정보의보호에관한법률 Safe Harbor 개인정보의보호에관한법률은원칙적인기준과추진체계만을규정 미국상무성의세이프하버에등록하고이를준수하는기업들은 EU 에서미국으로전송되는 PII 를위한적절한보호조치를취한것으로갂주 한국의경우 세이브하버를적용할수있을까? 빅데이터, 클라우드컴퓨팅을적극적으로이용할수있을까? 13
세계각국사이버보안비상 출처 : 세계일보 (2014. 2. 16.) 14
Google Street View 한국방송통신위원회종결 2 억 1230 만원과징금부과및무단으로수집한모든개인정보를삭제하되이과정을방통위가확인할수있도록시정조치 출처 : 이데일리 (2014. 1. 28.) Global Issue 로의발전가능성 15
세계개인정보유출사고순위 세계개인정보유출사고순위 (2014.2.13 현재 ) Records 152,000,000 150,000,000 140,000,000 서울중앙지검발표, 북한해커를통한유출 130,000,000 110,000,000 104,000,000 94,000,000 90,000,000 77,000,000 자료 : www.datalossdb.org 16
Target Target 2013. 12. 15. 1 억 4 천건 17
Heartland Payment Systems Heartland Payment Systems 2007. 10. 130 million Stock share: 44.05 USD now 18
TJX the cost for this breach could be as high as USD 1.6 billion. Each customer record was assumed to cost TJX USD 5 to service. 20 percent of those whose data was breached will request a credit watch, resulting in a total bill of USD 1.24 billion. legal advice (USD 12 million per year), public relations TJX 2007. 94 million (USD 3.4 million), internal investigations (USD 8.1 million) and regulatory fines (USD 1.5 million). Class-action lawsuits: Massachusetts Bankers Association (MBA), which represented the banks which had incurred loss allegedly in connection with the TJX data breach. The parties eventually settled for USD 41 million. 출처 : Lexology (2012. 11. 12.) 19
Sony Sony reported an estimated outlay of $171M for insurance, customer support, and rebuilding their user management and security systems. UK Authorities: $400,000 fine Sony s stock price has dropped from $30 to $13. Sony 2011. 77 million 출처 : Stormpath (2013. 1. 25.) 20
정보유출대응
What To Do After A Security Breach 1 2 3 4 5 6 7 8 Preparation and practice make perfect Don t panic Move quickly but stay patient Don t go it alone Assemble the right team Get legal advice Someone needs to talk Identify lessons learned 참고 : What to do after a security breach, cio insight, 2014. 3. 5. 22
Q & A 23