- #전체기사
- #시큐리티월드
- #사건사고
- #보안리포트
- #사이버안보
- #ISEC2024
개인정보 유출 사고 대응방안 논의... 공공·민간 협력의 현주소는?
2024-11-20 23:14
가 +가 -
개인정보 유출사고 경향과 주요 처분 사례 및 대응 체계 논의
한국사회보장정보원·롯데렌탈·필립모리스·피씨에스지의 개인정보 유출 사고 동향 공유
[보안뉴스 박은주 기자] 인공지능(AI) 시대가 열리며 데이터 활용이 다양해지면서 개인정보 유출 사고 심각성이 대두되는 가운데, 공공과 민간 분야의 개인정보보호책임자(CPO), 법률·기술 전문가가 모여 실질적인 대응방안을 논의하는 자리가 마련됐다.
▲개인정보보호위원회 조사2과 김해숙 과장[사진=보안뉴스]
11월 20일 개최된 ‘개인정보 정책포럼’에서는 최신 개인정보 유출사고의 경향과 주요 처분 사례를 살펴보고, 사업자가 참고할 수 있는 구체적인 대응 체계를 논의했다.
첫 번째 순서로 개인정보보호위원회 조사2과 김해숙 과장이 ‘최근 개인정보 유출경향과 유형별 주요사례’를 발표했다. 김 과장은 “매년 200~300건의 신고가 발생하고 있다”고 설명하며 침해사고 유형을 △해킹 △업무 과실 △시스템 및 개발 오류 △고의 유출 △기타로 구분했다. 그는 “유출 사고 중 해킹과 업무 과실이 절반 이상을 차지한다”며 개인정보 유출사고 사례를 공유하고 예방법에 관해 제언했다.
대표적인 유출 사고로 클라우드 환경에서의 관리자 계정 유출, 웹 취약점을 이용한 해킹(SQL 인젝션, 웹셸 등), 랜섬웨어 및 크리덴셜 스터핑 공격이 있다. 더불어 API 취약점으로 과도한 정보가 노출된 경우와 VPN 정책 완화 후 발생한 파일 유출 사례, IPS 정책 오류로 인해 개인정보가 유출된 사례도 언급됐다. 김 과장은 “보안장비를 구비하고 점검을 진행하고 있더라도 허점이 생길 수 있다”며 “보안 정책을 검토 및 변경할 때를 유의해야 한다”고 말했다.
이 밖에도 업무 과실로 인한 유출로 이메일 주소 오기로 입사지원서가 제3자에게 잘못 전송된 사례, 구글 폼 설정 오류로 설문 결과가 공개된 사례 등을 공유했다. 김 과장은 “유출 사고 예방을 위해 CPO를 비롯한 개인정보 보호 책임자가 기술적·관리적 안전조치를 수립하고, 처리 체계에 대한 주기적 점검과 보고 체계를 강화해야 한다”고 강조했다.
이어서 개인정보보호책임자협의회 장준영 간사의 진행으로 ‘개인정보 유출사고 최근 경향과 대응방향’에 대한 주제발표와 패널 토론이 열렸다.
▲패널 토론 모습[사진=보안뉴스]
첫 발표에서 한국사회보장정보원(이하 정보원) 김경수 부장이 정보원의 개인정보 정책에 관해 공유했다. 정보원은 20여 개의 개인정보 처리 시스템을 운영하며 다양한 개인정보를 취급 및 수집하고 있다. 개인정보보호 규칙을 제정하고 이를 기반으로 임무와 역할을 부여하는 등의 개인정보 보호 체계를 구축하고 있다. 김 부장은 “정보원은 정보보호기획부와 정보보안부를 별도로 운영하고 있고, 임원을 CPO로 지정하고, 본부장이 개인정보보호 책임자 역할을 맡는 등 제정한 내용을 토대로 보안 업무를 수행하도록 운영하고 있다”고 말했다.
이어 윤수영 전 필립모리스 개인정보보호 책임자는 CPO의 역할과 유출사고 선제 대응 사례를 발표했다. 윤 전 책임자는 개인정보위의 제재사례 활용, 민원 신고체계 구축, 모의훈련 확대 등 3가지 주요 방안을 제시했다. 윤 전 책임자는 특히 개인정보 유출 사고 대비 모의훈련의 중요성을 강조하며 “피싱 메일이나 디도스 공격뿐만 아니라 임직원이 개인정보 처리 과정에서 직면할 수 있는 다양한 상황에 대한 모의 훈련이 필요하다”고 덧붙였다.
롯데렌탈 전인복 부문장은 개인정보 보관을 최소화하고 외부 공격을 예방할 수 있는 방안을 공유했다. 전 부문장은 “해커의 관점에서 방어율이 취약하고, 얻을 수 있는 게 많으면 표적으로 삼을 수 있다”며 “방어율은 보안, 얻어가는 것을 개인정보에 비유할 수 있다”고 밝혔다. 롯데렌탈은 PC와 서버, 데이터베이스에 보유하고 있는 개인정보를 파악하고 정보를 최소화하기 위해 노력했고 95%의 개인정보를 삭제했다고 밝혔다. 임직원 관점에서 개인정보를 보호하기 위해서는 △개인정보 조회, 다운로드 권한 최소화 △개인정보 처리 최소화 △보안인식 개선이 필요하다고 밝혔다.
김앤장 김도엽 변호사는 개인정보보호를 위한 거버넌스 체계 구축의 중요성을 역설했다. 김 변호사는 “서비스 흐름도를 기반으로 책임 추적성을 확보하고, 리스크 기반 관리 및 고객 접점의 리스크를 줄이는 체계를 마련해야 한다”고 강조했다. 특히, 침해사고 대응 프로세스와 서비스 출시 전 영향평가의 필요성을 강조하며, 인공지능 서비스를 포함한 새로운 기술 환경에서도 기업의 거버넌스가 중요하다고 말했다.
끝으로 피씨에스지 이야리 대표는 개인정보보호 교육자로서, 최근 개인정보 유출 사고의 경향과 대응방안을 발표했다. 암호화 전 데이터 탈취, 교묘해진 온라인 사기 등의 사례를 들며 “개인정보 유출 사고 예방을 위해 전문적인 교육과 훈련이 필요하다”고 강조했다. 이 대표는 “특히 개인정보 유출 대응 훈련 시나리오를 바탕으로 한 모의훈련과 실질적인 사고 예방 체계를 마련해야 한다”고 덧붙였다.
이번 개인정보 정책포럼은 공공과 민간 분야 개인정보 유출 사고 경향과 주요 처분 사례를 공유하고, 실질적인 대응방안을 모색하는 자리로 평가받았다. 참석자는 개인정보 유출 사고를 방지하기 위해 더 체계적이고 지속적인 관리가 필요하다는 데 의견을 모았다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 개인정보위, 민간과 공동으로 개인정보 보호와 데이터 활용 생태계 조성 방법 찾는다
- 한 캠페인에 제로데이, 제로클릭 취약점을 두 개나 ...최근 러시아의 한 공격 단체가 모질라 파이어폭스 브라우저의 제로데이 취약점을 공략하기 시작...
- 산업 현장에서 점점 보편화 되고 있는 무선 기술, ...각종 산업 시설에도 무선 기술이 빠르게 도입되고 있다. 그러면서 새로운 취약점들도 속속 나...
- [기획특집] 통합보안·출입통제 기업의 공공조달 시장...2024년 8월을 기준으로 1월부터 8월까지 공공조달 실적이 있는 조달기업의 수는 41만 ...
- 인도 정부, CCTV 관련 신규 안전 요구사항 발표인도 정부가 CCTV 안전성을 제고하기 위해 새로운 정책을 도입했다. 지난 4월 인도 전자...
- 배달원·고객 정보 15만건 유출한 쿠팡... 과징금...
- [오늘의 보안 영어] on edge
- MS, 일부 자사 서비스에서 발견된 취약점 긴급히 ...
- 산업 현장에서 사용되는 와이파이 장비에서 20개 넘...
- 미국 대형 통신사 티모바일, “중국 APT의 침해 ...
- 영국의 대형 병원인 WUTH, 사이버 공격 받아 마...
- 금융보안원 장운영 팀장 “SW 공급망 생태계 참여자...
- [2024 제로트러스트-데이터 보안 리포트] 결국엔...
이전 스크랩하기
-
- 조회순
- 최신순
- 업무 파일인 줄 알았더니... ‘SVG 포맷’ 악성코드 유형 주의보
- 국민 2명 중 1명이 사용하는 토스, “보안 이렇게 했다”
- 사이버 공격자들, 실제로 인공지능을 어떻게 악용하나
- [단독] 부동산중개프로그램 판매 통한 ‘개인정보 무단 수집 및 거래’ 정황 드러나
- [긴급] 엔비디아 BCM 소프트웨어에서 인증 누락 취약점 발견... 초고위험 수준
- 한 캠페인에 제로데이, 제로클릭 취약점을 두 개나 익스플로잇 한 러시아의 롬콤
- 산업 현장에서 점점 보편화 되고 있는 무선 기술, 편의성 만큼 위험성도 인지해야
- [기획특집] 통합보안·출입통제 기업의 공공조달 시장 매출 집중해부
- 아우토크립트, 교통올림픽 ‘ITS 월드 콩그레스’서 글로벌 미래차 보안 표준 방향 제시
-
- 추천순
- 스크랩순
- 정부, 불법 스팸 근절 위한 ‘스팸 방지 종합대책’ 발표
- 국민 2명 중 1명이 사용하는 토스, “보안 이렇게 했다”
- [한국정보공학기술사 보안을 論하다-9] 기술적 보안의 효과를 극대화하려면
- 국제적인 도박 및 복권 기업 IGT, 사이버 공격 받아 일부 시스템 마비
- 가장 위험한 소프트웨어 보안 문제는 무엇일까? 25개를 꼽았더니
- 업무 파일인 줄 알았더니... ‘SVG 포맷’ 악성코드 유형 주의보
- 580억원 상당의 가상자산 탈취사건, 북한 해킹그룹 소행으로 드러나
- [단독] 한국지능정보사회진흥원, 관리자계정 유출로 외교부·행안부 등 소스코드 파일 털렸다! 현재 조사중
- [긴급] 전국 법원 홈페이지 대부분 접속불가... 디도스 공격 추정
- 언더그라운드 랜섬웨어, 텔레그램에 탈취 정보 공개
과월호 eBook List정기구독 신청하기
다후아테크놀로지코리아
인콘
엔텍디바이스코리아
이노뎁
다후아테크놀로지코리아
아이디스
씨프로
웹게이트
씨게이트
하이크비전
한화비전
ZKTeco
비엔에스테크
비엔비상사
원우이엔지
지인테크
지오멕스소프트
이화트론
다누시스
테크스피어
렉스젠
슈프리마
인텔리빅스
시큐인포
미래정보기술(주)
동양유니텍
비전정보통신
경인씨엔에스
트루엔
성현시스템
한결피아이에프
프로브디지털
디비시스
세연테크
스피어AX
투윈스컴
위트콘
유에치디프로
구네보코리아주식회사
주식회사 에스카
넥스트림
포엠아이텍
세렉스
탈레스
에스지에이솔루션즈
로그프레소
윈스
포티넷코리아
신우테크
팬틸드 / 하우징에프에스네트워크
유투에스알
케이제이테크
알에프코리아
창성에이스산업
아이엔아이
미래시그널
새눈
에스에스티랩
현대틸스
팬틸트 / 카메라이스트컨트롤
네티마시스템
태정이엔지
(주)일산정밀
넥스텝
한국씨텍
두레옵트로닉스
에이티앤넷
지에스티엔지니어링
게이트 / 스피드게이트에이앤티글로벌
포커스에이치앤에스
신화시스템
휴젠
메트로게이트
시큐리티 게이트글로넥스
엘림광통신
세환엠에스(주)
유진시스템코리아
카티스
유니온커뮤니티
검색
- PC화면
- 개인정보 처리방침
Copyright thebn Co., Ltd. All Rights Reserved.
- 로그인
- 제보하기
- 스크랩
- 전체기사
- SECURITY
- IT
- SAFETY
- 시큐리티월드
- 시큐리티 콘텐츠
- 데일리 뉴스레터