[아이뉴스24 김혜경 기자] # 2016년 5월 한 인터넷 쇼핑몰은 지능형 지속 위협(APT) 공격을 받아 회원들의 개인정보가 유출됐다. 해커는 직원의 이메일 계정을 탈취한 후 업무용 PC에 악성코드를 유포했고, 개인정보가 저장된 서버에 별도의 인증 없이 접속한 것으로 나타났다.
당시 방송통신위원회는 개인정보처리시스템의 접근통제 조치 등이 미흡했다는 이유로 해당 기업에 과징금을 부과했다. 2020년 10월 법원도 기업이 접근통제 의무를 다하지 않았고, 암호화 등 보안 조치를 하지 않았다는 이유로 손해배상책임을 인정했다.
7일 한국인터넷진흥원(KISA)에 따르면 개인정보보호법 위반행위 유형 가운데 안전조치 의무위반 유형이 66%로 가장 많았다. 이는 지난해 개인정보보호위원회가 공개한 의결서 내용을 토대로 집계한 수치다.
개인정보 유출사고 발생 시 보호법 위반 여부를 따지는 쟁점은 기업이 안전조치 의무를 이행했는지 여부다. 안정성 확보조치 기준은 개인정보처리자 지정을 비롯해 ▲내부관리계획 수립‧시행 ▲접근권한 관리‧접근통제 ▲암호화 ▲개인정보 파기 ▲악성프로그램 방지 ▲관리용 단말기 안전조치 등이 포함된다.
안전조치 의무위반 유형으로는 '저장‧전송 시 암호화'가 전체의 25%를 차지했다. 이어 ▲접속기록 보관‧점검(22%) ▲공개‧유출 방지조치(19%) ▲접근권한 관리(15%) ▲안전한 접속‧인증수단(13%) ▲시스템 설치‧운영(6%) 순으로 나타났다.
차윤호 KISA 개인정보조사단장은 "공개·유출 방지 조치는 내부적 부주의와 해킹 등 외부로부터의 불법적인 접근 등으로 인한 개인정보 유출사고를 방지하지 위한 목적"이라며 "개인정보가 인터넷 홈페이지 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 해야 한다"고 말했다. 개인정보처리시스템은 데이터베이스(DB)시스템 전체를 의미한다.
'침입차단·탐지 시스템'은 개인정보처리시스템에 대한 접속 권한을 IP주소 등을 제한, 인가받지 않은 접근을 제한하는 조치다. 또 개인정보처리자는 개인정보취급자의 최대 접속시간을 제한하는 등 안전한 인증수단을 적용해야 한다. 개인정보취급자란 처리자의 지시에 따라 개인정보를 처리하는 임직원을 뜻한다.
다수의 판례에서는 ▲침해사고 당시 보편적으로 알려진 정보보안의 기술 수준 ▲업종‧영업 규모와 전체적인 보안 조치의 내용 ▲정보보안에 필요한 경제적 비용 ▲해킹 기술 수준과 발전 정도에 따른 피해발생의 회피 가능성 ▲사회통념상 합리적으로 기대 가능한 정도의 보호조치 여부를 위반 판단 기준으로 보고 있다.
차 단장은 "지속적으로 보안 기술의 적정성을 검증하고 개선 조치를 실시해야 한다"며 "이상행위 탐지, 대응 등 실질적인 활동이 이뤄져야 하고 시스템이 감지하지 못하는 부분에 대해서는 정기적인 검사도 수반돼야 한다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기