Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

고객정보 해킹과 위기 대응

1 468 vues

Publié le

  • Soyez le premier à commenter

고객정보 해킹과 위기 대응

  1. 1. 2011. 9. 8. 구태언 변호사 ( 행복마루 법률사무소 ) [email_address] facebook.com/tek.lawfirm 고객정보 침해와 위기 대응
  2. 2. 제 5 회 금융정보보호컨퍼런스 고객정보 유출 사고 후 대응
  3. 3. 제 5 회 금융정보보호컨퍼런스 유출 사고 발생 협박 ( 공갈 ) 접수 자체 모니터링 외부 제보 경찰 수사 개시 사고 인지 경위 1 2 3 4 제일 먼저 해야 할 일은 ?
  4. 4. 제 5 회 금융정보보호컨퍼런스 첫번째 어려움 - 공개와 비공개 <ul><li>방통위 / 금감원 등 유관기관 신고 </li></ul><ul><li>경찰에 수사의뢰 </li></ul><ul><li>언론에 보도자료 배포 </li></ul><ul><li>고객에 통지 </li></ul>공개할 경우 해야 할 일 <ul><li>방통위 / 금감원의 현장 조사 </li></ul><ul><li>경찰의 수사 </li></ul><ul><li>언론 보도 </li></ul><ul><li>인터넷의 추측성 소문 , 악성 비방 </li></ul><ul><li>고객들의 문의 쇄도 및 보상 요구 </li></ul><ul><li>집단소송 카페 개설 </li></ul>공개할 경우 감당해야 할 외부 도전
  5. 5. 제 5 회 금융정보보호컨퍼런스 비공개가 정답인가 ? <ul><li>원하는 돈을 보내주면 모든 자료를 파기하고 절대 비밀을 지키겠다 . </li></ul><ul><li>선수끼리 선수답게 해결하자 . </li></ul><ul><li>자료는 나만 갖고 있다 . </li></ul>해커의 은밀한 유혹 <ul><li>보안이 잘 되어 있는 기업에 대한 해킹은 그룹으로 이루어짐 </li></ul><ul><li>금품도 받고 고객정보도 팔아 버릴 가능성 ? </li></ul><ul><li>협상 주체와 다른 이해관계를 가진 공범의 존재 </li></ul><ul><li>많은 시일이 지난 후 다시 마음이 변할 가능성 </li></ul>고객정보 파기 약속을 믿을 수 있을까 ?
  6. 6. 제 5 회 금융정보보호컨퍼런스 비공개 후 노출될 경우 <ul><li>기업의 명성에 미칠 영향 </li></ul><ul><li>“ 고객들의 2 차 피해를 막기 위한 조치를 하기는 커녕 자신의 과오를 숨긴 기업” </li></ul><ul><li>고객 이탈로 사업에 위기 초래 가능성 높아짐 </li></ul><ul><li>형사소송에 미칠 영향 </li></ul><ul><li>형사 입건될 가능성 급상승 </li></ul><ul><li>처벌형 높아질 가능성 급상승 </li></ul><ul><li>민사소송에 미칠 영향 </li></ul><ul><li>2 차 피해를 주장하며 집단 소송 제기 가능성 높아짐 </li></ul><ul><li>법원이 과실을 인정하여 손해배상을 명할 가능성 높아짐 </li></ul><ul><li>손해배상액이 급격히 높아질 가능성 . </li></ul>해커와 타협한 후 해킹 사실이 노출될 경우
  7. 7. 제 5 회 금융정보보호컨퍼런스 공개 결정 ! <ul><li>공개 결정을 지연한 사이에 노출될 경우 단점 발생 </li></ul><ul><li>뒤늦게 공개할 경우에 2 차 피해 예방을 하지 못하였다는 비난 발생 </li></ul>결정은 신속할 수록 좋음 <ul><li>방통위 / 금감원 / 행안부의 현장 조사 , 행정처분 </li></ul><ul><li>수사기관의 해커 수사 협조 요청 </li></ul><ul><li>수사기관의 회사에 대한 과실 여부 조사 </li></ul><ul><li>한국소비자원의 분쟁조정 절차 </li></ul><ul><li>개인정보분쟁조정위원회의 분쟁조정 절차 </li></ul><ul><li>금융소비자연맹 등 시민단체의 성명발표 , 정보공개 요구 </li></ul><ul><li>각종 추측성 , 비난성 언론 보도 / 악의적 오보 </li></ul><ul><li>인터넷의 추측성 소문 , 악성 비방 </li></ul><ul><li>고객들의 문의 쇄도 및 보상 요구 / 집단소송 카페 개설 </li></ul><ul><li>내부 직원 단속 </li></ul><ul><li>사건 경위의 정확한 파악 등 </li></ul>공개할 경우 감당해야 할 외부 도전
  8. 8. 제 5 회 금융정보보호컨퍼런스 방통위 / 금감원 / 행안부의 현장 조사 / 행정처분 <ul><li>정보통신망법 </li></ul><ul><li>전자금융감독규정 </li></ul><ul><li>개인정보보호법 </li></ul>침해사고 신고 의무 <ul><li>방통위 / 행안부의 현장조사 </li></ul><ul><li>금감원의 특별검사 </li></ul>현장 조사 <ul><li>과태료 , 과징금 </li></ul><ul><li>영업정지 ( 취소 ), 임원 / 기관 징계 </li></ul>행정처분
  9. 9. 제 5 회 금융정보보호컨퍼런스 경찰 조사와 형사 입건 <ul><li>제 73 조 ( 벌칙 ) 다음 각 호의 어느 하나에 해당하는 자는 2 년 이하의 징역 또는 1 천만원 이하의 벌금에 처한다 </li></ul><ul><li>제 28 조제 1 항제 2 호부터 제 5 호까지 ( 제 67 조에 따라 준용되는 경우를 포함한다 ) 의 규정에 따른 기술적 · 관리적 조치를 하지 아니하여 이용자의 개인정보를 분실 · 도난 · 누출 · 변조 또는 훼손한 자 </li></ul><ul><li>제 28 조 ( 개인정보의 보호조치 ) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적 · 관리적 조치를 하여야 한다 </li></ul><ul><li>개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행 </li></ul><ul><li>개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영 </li></ul><ul><li>접속기록의 위조 · 변조 방지를 위한 조치 </li></ul><ul><li>개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치 </li></ul><ul><li>백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치 </li></ul><ul><li>그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 </li></ul><ul><li>개인정보의 기술적 , 관리적 보호조치 기준 ( 방통위 고시 ) </li></ul><ul><li>동 기준 해설서 ( 한국인터넷진흥원 ) </li></ul>정통망법상 개인정보 분실 등 죄
  10. 10. 제 5 회 금융정보보호컨퍼런스 경찰 조사와 형사 입건 <ul><li>개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영 </li></ul><ul><li>IDS, IPS 의 운영 </li></ul><ul><li>IP 주소 등으로 접근 통제 </li></ul><ul><li>웹서버의 개인정보시스템 여부 </li></ul><ul><li>개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치 </li></ul><ul><li>개인정보 중 주민번호 , 비밀번호 암호화 . 로컬 저장시 전 개인정보 암호화 ( 로그 속 개인정보 ) </li></ul><ul><li>비밀번호의 작성 규칙 ( 6 자리 , 8 자리 ) </li></ul><ul><li>전송구간의 암호화 </li></ul><ul><li>VPN 접속시 추가 인증 </li></ul><ul><li>백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치 </li></ul><ul><li>백신의 설치 및 주기적 업데이트 </li></ul>사례에서 많이 발생하는 고시 위반 사유 정보통신망법 28 조 1 항 2 호 ~5 호 각호 및 이에 따른 고시 위반이 개인정보 분실 등의 원인이 되었을 때
  11. 11. 제 5 회 금융정보보호컨퍼런스 언론 대응 <ul><li>해킹 의심 정황 발견 사실 , 2 차 피해예방을 위한 고객들의 조치 요구 등 회사가 취해야 할 조치와 관련된 언론 브리핑은 신속하고 적극적으로 전개 </li></ul><ul><li>언론을 자극할 경우 , 추측성 보도로 이어져 결과적으로 후속 대응에 심각한 지장 초래 </li></ul>언론 대응을 회피하거나 , 적극적으로 이용하는 것은 바람직하지 않음 <ul><li>해커가 검거되기 전에는 유출 의심 정황이 있을 뿐 정확한 유출 자료는 확정되지 않음 </li></ul><ul><li>해커가 검거되기 전에는 정확한 해킹 경로는 밝혀지지 않음 </li></ul>해킹의 정확한 경위가 밝혀지기 전 원인 / 결과에 대한 언급은 부적절 <ul><li>회사의 부적절한 언급은 집단소송을 독려하는 효과 </li></ul><ul><li>특히 , 언론의 부정확한 보도 , 추측성 보도를 소송상 증거자료로 제출 </li></ul>집단 소송의 원고는 언론 보도를 주된 증거로 사용 <ul><li>문제된 부분에 대해서만 지적 </li></ul><ul><li>정정보도 과정에서 지나친 언급은 자제 </li></ul>부정확한 보도에 대해서는 즉시 정정 보도자료를 배포함이 바람직
  12. 12. 제 5 회 금융정보보호컨퍼런스 고객 대응 / 집단소송 대응 <ul><li>언론보도 직후부터 고객 문의 쇄도 , 불충분한 대응은 불리한 여론 형성으로 집단 소송 등에 영향 </li></ul><ul><li>온라인 , 전화 , 방문 등 모든 상황에 대해 대응 요령 준비하여 시행 </li></ul><ul><li>법무팀의 검토 하에 모범 문답을 준비 </li></ul><ul><li>2 차 피해 방지 , 고객 정보 변경 등 필요 최소한 조치는 적극적으로 안내 </li></ul><ul><li>해킹의 원인이나 전체 피해규모에 대해서는 ‘정확한 진상 규명중’ </li></ul>고객 대응 지원 체계 강화 <ul><li>언론의 오보가 여론을 자극할 경우에 적극적으로 해명하고 적절한 조치 </li></ul><ul><li>피해 고객을 위해 필요한 조치 검토 </li></ul><ul><li>법적 책임을 미리 인정한 것으로 오해될 소지가 있어 시행에 있어서는 신중한 검토 </li></ul>집단 소송 카페 등 움직임 관찰
  13. 13. 제 5 회 금융정보보호컨퍼런스 기타 유관 기관 대응 <ul><li>분쟁조정절차 있음 </li></ul><ul><li>충분한 조사 없이 적극적으로 회사의 과실 인정 및 배상금 인정하는 경향 </li></ul><ul><li>책임을 인정할 경우에 소송에 미치는 영향이 지대하므로 이의 제기 필요 </li></ul>한국소비자원 <ul><li>위와 비슷 </li></ul><ul><li>1 인당 배상금액을 100 만원 단위의 고액으로 인정한 사례 다수 </li></ul><ul><li>1 인이 제기한 조정이라고 할지라도 집단소송의 원고수만큼 배상 청구와 마찬가지이므로 신중하게 대응 </li></ul>개인정보분쟁조정위원회 <ul><li>회사 방문 , 정보공개 요청 , 유관기관에 영향력 행사 등 적극적으로 활동 </li></ul><ul><li>면담 , 최소한 정보 제공 등 적절하게 대응 </li></ul>금융소비자연맹 등 시민단체
  14. 14. 제 5 회 금융정보보호컨퍼런스 소송 대응 - 형사소송 <ul><li>경찰 </li></ul><ul><li>CTRC, CCI </li></ul><ul><li>검찰 </li></ul><ul><li>첨단범죄수사부 </li></ul><ul><li>수사에 적극적으로 협조하면서 이슈에 신속한 해명 </li></ul><ul><li>기술적 사실관계의 정확한 확정이 중요 </li></ul><ul><li>엔지니어들의 속단 , 부적절한 법적 효과 해석 </li></ul><ul><li>현업 직원들의 은폐 심리 , 보안부서의 동조 심리 참작 </li></ul>수사기관의 수사 <ul><li>관련 민사소송에서 공판기록 확보 시도 </li></ul><ul><li>집단소송의 대리인이 해킹 피고인 무료 변론 사례 등 </li></ul>공판
  15. 15. 제 5 회 금융정보보호컨퍼런스 소송 대응 – 민사 소송 <ul><li>개인 , 단체가 산발적으로 전국에 소송 제기하여 수십건의 소송 동시 진행 </li></ul><ul><li>패소판결 선고 등 다양한 파급 효과를 고려한 소송 운용 전략 필요 </li></ul>전국에 소송 제기 <ul><li>이의 제기 </li></ul>지급명령 <ul><li>1 심부터 3 심까지 최소 3 년 이상의 기간이 소요되는 장기전 </li></ul><ul><li>원고의 주장 , 입증을 기다려 필요 최소한으로 답변하는 전략 </li></ul><ul><li>집단 소송 사건 / 유력 변호인 사건에 소송력 집중하고 다른 사건은 이에 병합하거나 기일 추정하는 전략 </li></ul><ul><li>소송상 쟁점이 되는 기술적 사항의 반론 준비 </li></ul><ul><li>전문가 증인 , 관련 기관 의견서 , 문헌 / 참고자료 확보 등 </li></ul><ul><li>소송에 불리한 영향을 미치는 외부적 요인 검토 및 이에 대한 조치 </li></ul><ul><li>언론보도 , 경찰 수사결과 발표 , 유관기관의 조치 , 시민단체의 활동 등 </li></ul>본안소송

×