20111115 개인정보침해와디지털포렌식
19
-
Upload
tek-law-llp -
Category
Documents
-
view
1.040 -
download
3
description
디지털 포렌식 방법론을 이용하여 수탁업체의 개인정보 관리실태를 진단하는 방법에 대해 알아봅니다.
Transcript of 20111115 개인정보침해와디지털포렌식
목 차개인정보 침해시 기업의 민형사상 책임 개관
기업 수탁업체의 개인정보 침해 진단
기대 효과 - 포렌식 기법을 활용한 법적 책임 완화 효과 달성
개인정보 침해시 기업의 책임 개관
개인정보관리책임자 (CPO) 의 형사 책임
개인정보관리
책임자
해당 위반행위를 알고 결정했다고 평가되어 형사책임을 질 소지 높음
개인정보 유출시 암호화 조치 미이행된 경우 형사책임
업무결정에 관여한 경우
업무결정에 관여하지 않은 경우
원칙적으로는 형사책임을 지지 않음
사실상 해당 업무처리에 대해 잘 알고 있었거나 , 해당 업무처리를 관리감독할 의무가 있다고 평가되는 경우에는 형사책임 발생 가능
평소 관리감독에 철저했는지 여부
관리감독의 핵심은 정책수립 , 교육 및 점검
개인정보 관련 업무에 대한 위임전결규정 수립 , 사전 검토 및 사후 검토에 대한 원칙 수립 , 주기적인 점검 및 관련 사항에 대한 교육 실시 필요
이러한 관리감독을 철저히 하였다면 형사책임이 발생하지 않을 가능성 높음
업무상 개인정보 침해와 민형사상 책임
업무처리 과정에서 개인정보
침해
본사 직원에 의한 침해
수집 , 이용 , 제공 , 파기 , 보존 단계별 관련 법규 위반시
수탁업체에 의한 침해
본사를 위해 개인정보를 처리하는 과정에서 관련 법규 위반시
기업의책임
민사 책임
사용자 책임 – 본사 직원 및 수탁업체 직원 포함 ( 정통망법 25 조 5 항 )
입증책임의 전환 ( 정통망법 32 조 ) – 기업이 고의 / 과실이 없음을 입증해야
제공받은 제 3 자에 의한 침해
- 본사가 적정하게 개인정보를 제공하였는지가 책임 발생의 관건
형사 책임
고의에 의한 행위자는 행위책임으로서 본인이 형사처벌을 받게 됨
법률의 부지는 정당한 변명이 되지 않음
입건 대상자는 기업의 개인정보 담당 임직원 ( 개인정보관리책임자로 지정된 사람에 국한되지 않음 ) – 수탁자와 공모한 경우기술적 / 관리적 보호조치 위반에 의한 침해로 평가될 경우 “부작위”가 처벌되는 결과
해킹에 의한 개인정보 침해시 민형사상 책임
외부자에 의한 해킹기업의 기술적 / 관리적 보호조치 위반이 있었는지 여부가 책임 성립의 관건공동불법행위에 따른 민사책임 및 기술적 / 관리적 보호조치 위반으로 인한 형사책임 성립 가능
내부자에 의한 해킹
기업의책임
개인정보취급자에 의한 해킹
본사 직원 및 수탁업체 직원 여부 불문기업은 사용자 책임 및 형사책임 발생민사책임에 있어서 사용자 책임의 전환으로 기업이 승소하기 곤란형사책임에 있어서 기술적 / 관리적 보호조치 위반으로 평가받아 개인정보보호 담당 임직원이 형사처벌 가능성이 높음
개인정보취급자가 아닌 자에 의한 해킹평소 개인정보에 대한 접근권한이 없는 자에 의한 침해민사책임에 있어서 사용자 책임이 인정될 가능성이 아주 높음형사책임에 있어서 기술적 / 관리적 보호조치 위반으로 평가받을 가능성이 아주 높음
개인정보 침해와 민형사상 책임 요약
< 형사책임 >
암호화 의무 등 보호조치 고시 위반 등 일정한 경우 형사책임의 발생
양벌규정으로 인한 회사의 책임 발생 및 벌금의 부과 * 민 , 형사 절차 동시 진행의 가능성1< 민사책임 >
직원 ( 수탁회사 포함 ) 의 개인정보 침해시 회사의 사용자 책임 발생
집단 소송 ) 에 따른 거액의 손해배상책임 부담 2
한국소비자원의 집단분쟁 조정절차 개시 , 개인정보분쟁조정위원회의 조정절차 개시 등3
수탁업체의 개인정보 침해진단의 필요성
기업의 개인정보 유출 사건에 대해 피해자들의 대규모 소송이 진행되어 피해보상 판결까지 이어지는 등 기업의 새로운 RISK 로 등장
또한 , 기업에서 취급하는 개인정보의 양이 급격하게 증가하고 있음에도 불구하고 적절한 대응을 하지 못해 , 개인정보 침해 문제가 발생하여 포렌식 관점에서 접근 필요
기업 본사는 고도의 정보보안 시스템을 구축하고 철저한 정보관리를 시행함으로써 리스크를 줄이고 있으나 , 수많은 수탁업체들에 있어서 본사와 동일한 정보관리를 실시하기 어려움
그러나 , 수탁업체는 본사와 동일한 법적 책임을 기업에게 야기하므로 수탁업체에 대한 철저한 개인정보 관리 필요
대표적인 진단 대상 오남용 행위
1
개인정보 수집시 고지 , 명시의무 불이행
사전 동의 없이 개인정보수집 / 이용 / 제공
만 14 세 미만 아동 개인정보의 부정수집
개인정보 수집 2
고지 , 동의 범위를 초과한 이용 / 제공
개인정보처리 위탁시 고지의무 불이행
PC 저장시 암호화 여부
개인정보의 이용 및 제공
3
개인정보보호법령상 기술적 관리적 조치 / 안전성 확보 조치 미비
비인가자의 개인정보 접근 허용 등
개인정보의 유지 , 관리 4
목적 달성한 개인정보의 방치 , 활용
개인정보처리 위탁시 고지의무 불이행
폐기시 복구불가능하게 폐기할 의무
개인정보의 동의철회 , 파기 / 개인
정보의 유출 , 도용 , 침해 대응처리
정보통신망법상 암호화 규정
제 6 조 ( 개인정보의 암호화 )
비밀번호 및 바이오정보는 복호화되지 않도록 일방향 암호화 저장
주민등록번호 , 계좌 및 신용카드 번호 , 계좌번호는 안전한 암호 알고리듬으로 암호화하여 저장
정보통신망을 통해 이용자의 인증정보 송수신시 안전한 보안서버 구축 등의 조치를 통해 이를 암호화 하여 전송
Web Server 에 SSL 통신 또는 암호화 응용프로그램 탑재
정보통신서비스 제공자 등은 이용자의 개인정보를 개인용컴퓨터 (PC) 에 저장할 때 이를 암호화하여 저장 (2010 년 1월 29 일 시행 )
개인정보의 기술적 · 관리적 보호조치 기준 ( 방통위 고시 2009. 8. 7. )
개인정보보호법상 암호화 규정
제 7 조 ( 개인정보의 암호화 )
암호화할 개인정보는 고유식별정보 , 비밀번호 , 바이오정보
위 개인정보를 정보통신망을 통해 송수신할 때에는 암호화 통신
비밀번호 및 바이오정보는 암호화하여 저장해야 , 비밀번호는 일방향 암호화해야
고유식별번호
인터넷 구간 및 DMZ 구간에 저장시 암호화해야
내부망에 저장시 위험도 분석에 따라 암호화 적용 여부 및 적용여부 결정 (공공기관은 개인정보영향평가의 결과
안전한 암호알고리즘으로 암호화하여 저장해야
2011. 13. 30. 까지 암호화계획 수립 , 2012. 12. 31. 까지 암호화적용
업무용 컴퓨터에 고유식별정보를 저장시 상용암호화소프트웨어 또는 안전한 암호알고리즘 사용
개인정보의 안전성 확보 조치 기준 ( 행안부 고시 2011. 9. 30. )
기업 수탁업체의 개인정보 침해 진단
포렌식 진단기법의 활용
• 종래 점검 실무는 체크리스트 기반으로 진단 대상의 진술에 의존
• 수탁업체에 대한 점검이 사전 예고하에 공개적으로 이루어지므로 오남용 행위에 관한 증거를 폐기하여 쉽게 적발되지 않음
• 컴퓨터 저장장치 (HDD, USB, CD 등 ) 또는 데이터베이스에 불법적 ( 비인가자 , 암호화 미적용 등 ) 으로 오남용된 개인정보 처리 증거 확보 가능
• 디지털 포렌식 기법적 분석은 삭제된 증거 , 외부저장장치의 활용 , 공모 (악의적 이용에 대한 증거 및 관련자 ) 과 관련된 자료를 찾아낼 수 있음
포렌식 절차
사전 조사- 현업의 주요업무 파악- 진단 대상 업체에 특화된 체크리스트 작성
증거 수집- 개인정보 책임자 , 처리자 , 취급자 등 인터뷰- 개인정보처리시스템 DB 백업 및 Log 수집- 개인정보취급자의 PC 의 HDD, USB 등 이미징
증거 분석 (예시 )- 부적절한 개인정보 보유 여부- 외부저장장치를 활용한 개인정보 은닉 , 오남용 등 활용 실태- 개인정보 폐기시 복구불가능하게 폐기하였는지 여부- DMZ영역에 개인정보의 저장 여부 및 암호화 적용 여부- PC 에 저장되는 개인정보의 암호화 적용 여부
진단 절차 요약
사전조사
• 현황파악
• 체크리스트 작성 등
증거수집
• 인터뷰• 디스크
이미징 등
증거분석
• 유출 및 오남용 분석
• 완전파기 확인
보고서작성
• 대응 방안 마련 등
기대 효과
기대효과
수탁업체의 개인정보 처리과정에서 발생할 수 있는 법적 RISK 미연에 방지
기업 직원 및 협력업체 직원에 경각심 부여로 예방 효과 달성
오남용 관련 담당자에 대해 신상필벌 시행
기업에 대한 신뢰성 증가로 인하여 기업 이미지 향상
수사기관 , 규제기관의 조사에 사전적 예방적 대응
정확한 취급 실태 파악으로 정보보안 정책을 실질적으로 개선 가능
감사합니다 .
Q & A
