개인정보 유출사고 경향과 주요 처분 사례 및 대응 체계 논의
한국사회보장정보원·롯데렌탈·필립모리스·피씨에스지의 개인정보 유출 사고 동향 공유
[보안뉴스 박은주 기자] 인공지능(AI) 시대가 열리며 데이터 활용이 다양해지면서 개인정보 유출 사고 심각성이 대두되는 가운데, 공공과 민간 분야의 개인정보보호책임자(CPO), 법률·기술 전문가가 모여 실질적인 대응방안을 논의하는 자리가 마련됐다.
▲개인정보보호위원회 조사2과 김해숙 과장[사진=보안뉴스]
11월 20일 개최된 ‘개인정보 정책포럼’에서는 최신 개인정보 유출사고의 경향과 주요 처분 사례를 살펴보고, 사업자가 참고할 수 있는 구체적인 대응 체계를 논의했다.
첫 번째 순서로 개인정보보호위원회 조사2과 김해숙 과장이 ‘최근 개인정보 유출경향과 유형별 주요사례’를 발표했다. 김 과장은 “매년 200~300건의 신고가 발생하고 있다”고 설명하며 침해사고 유형을 △해킹 △업무 과실 △시스템 및 개발 오류 △고의 유출 △기타로 구분했다. 그는 “유출 사고 중 해킹과 업무 과실이 절반 이상을 차지한다”며 개인정보 유출사고 사례를 공유하고 예방법에 관해 제언했다.
대표적인 유출 사고로 클라우드 환경에서의 관리자 계정 유출, 웹 취약점을 이용한 해킹(SQL 인젝션, 웹셸 등), 랜섬웨어 및 크리덴셜 스터핑 공격이 있다. 더불어 API 취약점으로 과도한 정보가 노출된 경우와 VPN 정책 완화 후 발생한 파일 유출 사례, IPS 정책 오류로 인해 개인정보가 유출된 사례도 언급됐다. 김 과장은 “보안장비를 구비하고 점검을 진행하고 있더라도 허점이 생길 수 있다”며 “보안 정책을 검토 및 변경할 때를 유의해야 한다”고 말했다.
이 밖에도 업무 과실로 인한 유출로 이메일 주소 오기로 입사지원서가 제3자에게 잘못 전송된 사례, 구글 폼 설정 오류로 설문 결과가 공개된 사례 등을 공유했다. 김 과장은 “유출 사고 예방을 위해 CPO를 비롯한 개인정보 보호 책임자가 기술적·관리적 안전조치를 수립하고, 처리 체계에 대한 주기적 점검과 보고 체계를 강화해야 한다”고 강조했다.
이어서 개인정보보호책임자협의회 장준영 간사의 진행으로 ‘개인정보 유출사고 최근 경향과 대응방향’에 대한 주제발표와 패널 토론이 열렸다.
▲패널 토론 모습[사진=보안뉴스]
첫 발표에서 한국사회보장정보원(이하 정보원) 김경수 부장이 정보원의 개인정보 정책에 관해 공유했다. 정보원은 20여 개의 개인정보 처리 시스템을 운영하며 다양한 개인정보를 취급 및 수집하고 있다. 개인정보보호 규칙을 제정하고 이를 기반으로 임무와 역할을 부여하는 등의 개인정보 보호 체계를 구축하고 있다. 김 부장은 “정보원은 정보보호기획부와 정보보안부를 별도로 운영하고 있고, 임원을 CPO로 지정하고, 본부장이 개인정보보호 책임자 역할을 맡는 등 제정한 내용을 토대로 보안 업무를 수행하도록 운영하고 있다”고 말했다.
이어 윤수영 전 필립모리스 개인정보보호 책임자는 CPO의 역할과 유출사고 선제 대응 사례를 발표했다. 윤 전 책임자는 개인정보위의 제재사례 활용, 민원 신고체계 구축, 모의훈련 확대 등 3가지 주요 방안을 제시했다. 윤 전 책임자는 특히 개인정보 유출 사고 대비 모의훈련의 중요성을 강조하며 “피싱 메일이나 디도스 공격뿐만 아니라 임직원이 개인정보 처리 과정에서 직면할 수 있는 다양한 상황에 대한 모의 훈련이 필요하다”고 덧붙였다.
롯데렌탈 전인복 부문장은 개인정보 보관을 최소화하고 외부 공격을 예방할 수 있는 방안을 공유했다. 전 부문장은 “해커의 관점에서 방어율이 취약하고, 얻을 수 있는 게 많으면 표적으로 삼을 수 있다”며 “방어율은 보안, 얻어가는 것을 개인정보에 비유할 수 있다”고 밝혔다. 롯데렌탈은 PC와 서버, 데이터베이스에 보유하고 있는 개인정보를 파악하고 정보를 최소화하기 위해 노력했고 95%의 개인정보를 삭제했다고 밝혔다. 임직원 관점에서 개인정보를 보호하기 위해서는 △개인정보 조회, 다운로드 권한 최소화 △개인정보 처리 최소화 △보안인식 개선이 필요하다고 밝혔다.
김앤장 김도엽 변호사는 개인정보보호를 위한 거버넌스 체계 구축의 중요성을 역설했다. 김 변호사는 “서비스 흐름도를 기반으로 책임 추적성을 확보하고, 리스크 기반 관리 및 고객 접점의 리스크를 줄이는 체계를 마련해야 한다”고 강조했다. 특히, 침해사고 대응 프로세스와 서비스 출시 전 영향평가의 필요성을 강조하며, 인공지능 서비스를 포함한 새로운 기술 환경에서도 기업의 거버넌스가 중요하다고 말했다.
끝으로 피씨에스지 이야리 대표는 개인정보보호 교육자로서, 최근 개인정보 유출 사고의 경향과 대응방안을 발표했다. 암호화 전 데이터 탈취, 교묘해진 온라인 사기 등의 사례를 들며 “개인정보 유출 사고 예방을 위해 전문적인 교육과 훈련이 필요하다”고 강조했다. 이 대표는 “특히 개인정보 유출 대응 훈련 시나리오를 바탕으로 한 모의훈련과 실질적인 사고 예방 체계를 마련해야 한다”고 덧붙였다.
이번 개인정보 정책포럼은 공공과 민간 분야 개인정보 유출 사고 경향과 주요 처분 사례를 공유하고, 실질적인 대응방안을 모색하는 자리로 평가받았다. 참석자는 개인정보 유출 사고를 방지하기 위해 더 체계적이고 지속적인 관리가 필요하다는 데 의견을 모았다.
[박은주 기자(boan5@boannews.com)]
한국사회보장정보원·롯데렌탈·필립모리스·피씨에스지의 개인정보 유출 사고 동향 공유
[보안뉴스 박은주 기자] 인공지능(AI) 시대가 열리며 데이터 활용이 다양해지면서 개인정보 유출 사고 심각성이 대두되는 가운데, 공공과 민간 분야의 개인정보보호책임자(CPO), 법률·기술 전문가가 모여 실질적인 대응방안을 논의하는 자리가 마련됐다.
▲개인정보보호위원회 조사2과 김해숙 과장[사진=보안뉴스]
11월 20일 개최된 ‘개인정보 정책포럼’에서는 최신 개인정보 유출사고의 경향과 주요 처분 사례를 살펴보고, 사업자가 참고할 수 있는 구체적인 대응 체계를 논의했다.
첫 번째 순서로 개인정보보호위원회 조사2과 김해숙 과장이 ‘최근 개인정보 유출경향과 유형별 주요사례’를 발표했다. 김 과장은 “매년 200~300건의 신고가 발생하고 있다”고 설명하며 침해사고 유형을 △해킹 △업무 과실 △시스템 및 개발 오류 △고의 유출 △기타로 구분했다. 그는 “유출 사고 중 해킹과 업무 과실이 절반 이상을 차지한다”며 개인정보 유출사고 사례를 공유하고 예방법에 관해 제언했다.
대표적인 유출 사고로 클라우드 환경에서의 관리자 계정 유출, 웹 취약점을 이용한 해킹(SQL 인젝션, 웹셸 등), 랜섬웨어 및 크리덴셜 스터핑 공격이 있다. 더불어 API 취약점으로 과도한 정보가 노출된 경우와 VPN 정책 완화 후 발생한 파일 유출 사례, IPS 정책 오류로 인해 개인정보가 유출된 사례도 언급됐다. 김 과장은 “보안장비를 구비하고 점검을 진행하고 있더라도 허점이 생길 수 있다”며 “보안 정책을 검토 및 변경할 때를 유의해야 한다”고 말했다.
이 밖에도 업무 과실로 인한 유출로 이메일 주소 오기로 입사지원서가 제3자에게 잘못 전송된 사례, 구글 폼 설정 오류로 설문 결과가 공개된 사례 등을 공유했다. 김 과장은 “유출 사고 예방을 위해 CPO를 비롯한 개인정보 보호 책임자가 기술적·관리적 안전조치를 수립하고, 처리 체계에 대한 주기적 점검과 보고 체계를 강화해야 한다”고 강조했다.
이어서 개인정보보호책임자협의회 장준영 간사의 진행으로 ‘개인정보 유출사고 최근 경향과 대응방향’에 대한 주제발표와 패널 토론이 열렸다.
▲패널 토론 모습[사진=보안뉴스]
첫 발표에서 한국사회보장정보원(이하 정보원) 김경수 부장이 정보원의 개인정보 정책에 관해 공유했다. 정보원은 20여 개의 개인정보 처리 시스템을 운영하며 다양한 개인정보를 취급 및 수집하고 있다. 개인정보보호 규칙을 제정하고 이를 기반으로 임무와 역할을 부여하는 등의 개인정보 보호 체계를 구축하고 있다. 김 부장은 “정보원은 정보보호기획부와 정보보안부를 별도로 운영하고 있고, 임원을 CPO로 지정하고, 본부장이 개인정보보호 책임자 역할을 맡는 등 제정한 내용을 토대로 보안 업무를 수행하도록 운영하고 있다”고 말했다.
이어 윤수영 전 필립모리스 개인정보보호 책임자는 CPO의 역할과 유출사고 선제 대응 사례를 발표했다. 윤 전 책임자는 개인정보위의 제재사례 활용, 민원 신고체계 구축, 모의훈련 확대 등 3가지 주요 방안을 제시했다. 윤 전 책임자는 특히 개인정보 유출 사고 대비 모의훈련의 중요성을 강조하며 “피싱 메일이나 디도스 공격뿐만 아니라 임직원이 개인정보 처리 과정에서 직면할 수 있는 다양한 상황에 대한 모의 훈련이 필요하다”고 덧붙였다.
롯데렌탈 전인복 부문장은 개인정보 보관을 최소화하고 외부 공격을 예방할 수 있는 방안을 공유했다. 전 부문장은 “해커의 관점에서 방어율이 취약하고, 얻을 수 있는 게 많으면 표적으로 삼을 수 있다”며 “방어율은 보안, 얻어가는 것을 개인정보에 비유할 수 있다”고 밝혔다. 롯데렌탈은 PC와 서버, 데이터베이스에 보유하고 있는 개인정보를 파악하고 정보를 최소화하기 위해 노력했고 95%의 개인정보를 삭제했다고 밝혔다. 임직원 관점에서 개인정보를 보호하기 위해서는 △개인정보 조회, 다운로드 권한 최소화 △개인정보 처리 최소화 △보안인식 개선이 필요하다고 밝혔다.
김앤장 김도엽 변호사는 개인정보보호를 위한 거버넌스 체계 구축의 중요성을 역설했다. 김 변호사는 “서비스 흐름도를 기반으로 책임 추적성을 확보하고, 리스크 기반 관리 및 고객 접점의 리스크를 줄이는 체계를 마련해야 한다”고 강조했다. 특히, 침해사고 대응 프로세스와 서비스 출시 전 영향평가의 필요성을 강조하며, 인공지능 서비스를 포함한 새로운 기술 환경에서도 기업의 거버넌스가 중요하다고 말했다.
끝으로 피씨에스지 이야리 대표는 개인정보보호 교육자로서, 최근 개인정보 유출 사고의 경향과 대응방안을 발표했다. 암호화 전 데이터 탈취, 교묘해진 온라인 사기 등의 사례를 들며 “개인정보 유출 사고 예방을 위해 전문적인 교육과 훈련이 필요하다”고 강조했다. 이 대표는 “특히 개인정보 유출 대응 훈련 시나리오를 바탕으로 한 모의훈련과 실질적인 사고 예방 체계를 마련해야 한다”고 덧붙였다.
이번 개인정보 정책포럼은 공공과 민간 분야 개인정보 유출 사고 경향과 주요 처분 사례를 공유하고, 실질적인 대응방안을 모색하는 자리로 평가받았다. 참석자는 개인정보 유출 사고를 방지하기 위해 더 체계적이고 지속적인 관리가 필요하다는 데 의견을 모았다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
