KISA, ‘개인정보 유출 사고와 대응 방안’ 주제로 발표 진행
“개인정보 질의응답이나 대응 매뉴얼 등 정부 자료 참고한 적극 대응 중요”
[보안뉴스 조재호 기자] 해킹으로 인한 개인정보 유출 사고가 늘어나고 있다.
이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 점을 악용한 ‘크리덴셜 스터핑’(Credential Stuffing)이나 공공기관에서 개인정보를 취급하는 담당자가 실수로 마스킹 되지 않은 정보를 유출하는 등 부주의가 사고로 이어지는 경우가 많다.
보안 담당자들은 신고 접수와 대응 절차 등 사고 조치 프로세스를 다시 한번 점검할 필요가 있다.
이광재 한국인터넷진흥원(KISA) 선임연구원은 28일 서울 강남구 코엑스에서 열린 PIS FAIR 2025에서 ‘개인정보 유출 사고와 대응 방안’을 주제로 발표하며 “최근 공공기관에선 업무 과실로 인한 개인정보 유출이, 민간에선 해킹으로 인한 피해가 늘고 있다”며 “유출 사고 방지 노력과 함께 침해 사고가 발생하면 빠르게 신고하고 외부 전문가의 도움을 받을 것을 권한다”고 말했다.
▲이광재 KISA 선임연구원이 세션 발표를 진행하고 있다. [자료: 보안뉴스]
이 선임연구원은 개인정보 유출의 정의부터 살폈다. 유출 사고에 대한 법률적 정의는 없다. 다만, 전산보안 사고나 전산 사고 등을 통해 개인정보가 빠져나간 사건이 ‘유출 사고’라는 설명이다. 개인정보보호위원회가 지난해 12월 발간한 ‘개인정보 질의응답 모음집’ 같은 자료가 도움이 될 것이라고 소개했다.
개인정보가 유출되면 개인정보보호법 34조, 시행령 40조에 따라 신고 의무가 발생한다. 인지 후 72시간 이내에 해야 한다. 신고는 118 등 유선이 아니라 서면으로 해야 한다. 이 선임연구원은 “신고 기준을 모르더라도 ‘기타’ 항목으로 최초 유출 신고를 할 것을 권장한다”고 말했다.
최근 SKT 해킹 사건에서도 신고 시점이 논란이 됐다. 개인정보보호법과 정보통신망법에 각각 신고 의무가 규정돼 있어, SKT는 두 법에 정해진 기관에 모두 신고를 진행했다.
신고서는 유출 항목과 규모, 시점, 경위, 피해 최소화 대책, 구제 절차 등을 담아 작성해야 한다. 최대한 구체적이고 상세하게 설명해야 한다. ‘파악 중’ 같은 모호한 표현은 지양해야 한다. 또 신고인과 장기간 연락이 닿지 않거나, 개인정보보호책임자와 침해 내용이 공유되지 않는 상황도 유의해야 한다.
개인정보 유출 사고 조사 절차는 크게 신고-조사-처분 3단계로 나뉜다. 사고 업체가 신고하면 개인정보위가 검토 및 조사를 진행하며, KISA는 조사 착수 과정에서 기술 지원을 한다. 조사에선 제출된 자료를 바탕으로 원인 분석과 증적 확보를 거쳐 위반 사항을 특정한다.
이 과정에서 신고자의 원활한 대응이 중요하다. 이 선임연구원은 “대응 역량이 충분치 않은 중소기업이 민간 분야 해킹 피해의 60% 이상을 차지한다”며 “KISA가 지난해 발간한 ‘개인정보 유출 등 사고 대응 매뉴얼’ 같은 자료가 도움이 될 것”이라고 말했다.
[조재호 기자(sw@boannews.com)]
“개인정보 질의응답이나 대응 매뉴얼 등 정부 자료 참고한 적극 대응 중요”
[보안뉴스 조재호 기자] 해킹으로 인한 개인정보 유출 사고가 늘어나고 있다.
이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 점을 악용한 ‘크리덴셜 스터핑’(Credential Stuffing)이나 공공기관에서 개인정보를 취급하는 담당자가 실수로 마스킹 되지 않은 정보를 유출하는 등 부주의가 사고로 이어지는 경우가 많다.
보안 담당자들은 신고 접수와 대응 절차 등 사고 조치 프로세스를 다시 한번 점검할 필요가 있다.
이광재 한국인터넷진흥원(KISA) 선임연구원은 28일 서울 강남구 코엑스에서 열린 PIS FAIR 2025에서 ‘개인정보 유출 사고와 대응 방안’을 주제로 발표하며 “최근 공공기관에선 업무 과실로 인한 개인정보 유출이, 민간에선 해킹으로 인한 피해가 늘고 있다”며 “유출 사고 방지 노력과 함께 침해 사고가 발생하면 빠르게 신고하고 외부 전문가의 도움을 받을 것을 권한다”고 말했다.
▲이광재 KISA 선임연구원이 세션 발표를 진행하고 있다. [자료: 보안뉴스]
이 선임연구원은 개인정보 유출의 정의부터 살폈다. 유출 사고에 대한 법률적 정의는 없다. 다만, 전산보안 사고나 전산 사고 등을 통해 개인정보가 빠져나간 사건이 ‘유출 사고’라는 설명이다. 개인정보보호위원회가 지난해 12월 발간한 ‘개인정보 질의응답 모음집’ 같은 자료가 도움이 될 것이라고 소개했다.
개인정보가 유출되면 개인정보보호법 34조, 시행령 40조에 따라 신고 의무가 발생한다. 인지 후 72시간 이내에 해야 한다. 신고는 118 등 유선이 아니라 서면으로 해야 한다. 이 선임연구원은 “신고 기준을 모르더라도 ‘기타’ 항목으로 최초 유출 신고를 할 것을 권장한다”고 말했다.
최근 SKT 해킹 사건에서도 신고 시점이 논란이 됐다. 개인정보보호법과 정보통신망법에 각각 신고 의무가 규정돼 있어, SKT는 두 법에 정해진 기관에 모두 신고를 진행했다.
신고서는 유출 항목과 규모, 시점, 경위, 피해 최소화 대책, 구제 절차 등을 담아 작성해야 한다. 최대한 구체적이고 상세하게 설명해야 한다. ‘파악 중’ 같은 모호한 표현은 지양해야 한다. 또 신고인과 장기간 연락이 닿지 않거나, 개인정보보호책임자와 침해 내용이 공유되지 않는 상황도 유의해야 한다.
개인정보 유출 사고 조사 절차는 크게 신고-조사-처분 3단계로 나뉜다. 사고 업체가 신고하면 개인정보위가 검토 및 조사를 진행하며, KISA는 조사 착수 과정에서 기술 지원을 한다. 조사에선 제출된 자료를 바탕으로 원인 분석과 증적 확보를 거쳐 위반 사항을 특정한다.
이 과정에서 신고자의 원활한 대응이 중요하다. 이 선임연구원은 “대응 역량이 충분치 않은 중소기업이 민간 분야 해킹 피해의 60% 이상을 차지한다”며 “KISA가 지난해 발간한 ‘개인정보 유출 등 사고 대응 매뉴얼’ 같은 자료가 도움이 될 것”이라고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
