2015. 3. 18. (수) e-GISEC 2015 강연자료

1. 해킹사례로 살펴보는
개인정보의 기술적 보호조치
법무법인 민후 김경환 변호사

2. 법령의 이해와 보안
기술적 보호조치 안전성 확보조치 등 법령 위반( )○
과태료 과징금 형사처벌 양벌규정 손해배상, , ( ),→
최근 정보통신망법 제 조의 은 인과관계 입증 없이 과징금 부과 가능( 64 3)○
예 이용자의 개인정보를 분실 도난 누출 변조 또는 훼손한 경우로서 제 조) · · · 28
제 항제 호부터 제 호까지의 조치를 하지 아니한 경우1 2 5
많은 투자가 있었지만 법적 기준 미달이면 제재,○ →

3. 개인정보의 기술적 보호조치에 관한 법령
개인정보의 안전성 확보조치 기준 행자부 고시( )○
공공기관 오프라인 기업,→
개인정보의 기술적 관리적 보호조치 기준 방통위 고시( )○ ㆍ
온라인 기업 정보통신서비스제공자( )→
전자금융감독규정 금융위 고시( )○
금융회사 등→

4. 민사 행정 소송에서 과실의 판단기준( )
해킹 사고 방지를 위해 취해야 할 선량한 관리자로서의 주의의무를 위반하○
였는지는 ① 관련 법령이 기업에게 요구하고 있는 기술적 관리적 보안 조치․
의 내용 해킹 당시 당해 기업이 취하고 있던, ② 보안 조치의 내용 업종 규모( ㆍ
도 고려) 해킹 방지 기술 도입을 위한, ③ 경제적 비용 및 그 효용의 정도,
④ 해킹 방지 기술의 발전 정도 및 해커가 사용한 해킹 기술의 수준 회피가능(
성) 개인정보 유출로 인해 이용자가 입게 되는, ⑤ 피해의 정도 등을 종합적
으로 고려하여 판단하여야 할 것이다.

5. 이상징후 모니터링
관련조문 방통위 고시 제 조 제 항 행자부 고시 제 조: 5 1 , 7○
정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한
기록을 월 회 이상 정기적으로 확인 감독1 · 하여야 하며 시스템 이상 유무의 확,
인 등을 위해 최소 개월 이상 접속기록을 보존 관리하여야 한다6 · .

6. → 법원의 해석( ) 이 규정은 개인정보처리시스템에 대한 접속기록의 위조․
변조를 막기 위한 조치이나 이는 궁극적으로 개인정보의 누출 방지 등 보호를,
위하여 개인정보처리시스템에서 개인정보를 처리한 내역을 확인하고 감독하여야
한다는 주의의무가 포함되는 규정에 해당

7. 사실관계 가합 년 해킹 사건(2012 83365, 2012 KT )○
정상사용패턴과는 달리 동일한 서비스 호출이 반복되는- 비정상적인 패턴이
라는 것을 확인하였고 구체적으로 명의변경 사전체크의 양도인 가입계약조회, ‘ ’,
고객기본정보의 가입계약조회 개통 사전체크의 할부 적격여부 조회 의‘ ’, ‘ ’ 동일한
서비스를 빠른 속도로 반복적으로 실행한 사실
해커는 이 사건 해킹프로그램을 실행할 당시- 주일에 한 번 만 건 정1 10
도의 개인정보를 조회한 사실

8. 결론 현재 항소심 진행 중( )○
가 고시 규정에서 정한 바와 같이- KT 한 달에 회 이상 정기적으로1 개인
정보취급자가 개인정보처리시스템을 이용하여 업무를 수행한 내역을 감독하고
확인하였다면 개인정보처리시스템의 사용 패턴에서 평상시의 상태와 다른 특이
점을 발견하여 정보 유출의 지속 및 확대를 방지할 수 있었음에도 는 이러한KT
주의의무를 다하지 못하고 정보유출자들로 하여금 개월 이상 개인정보를 조회5
하도록 방치한 과실이 있음

9. 접근통제
관련조문 방통위 고시 제 조 제 항 행자부 고시 조 제 항: 4 5 , 5 1○
정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고
방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 운영하여야 한다· .
개인정보처리시스템에 대한1. 접속 권한을 주소 등으로 제한IP 하여 인가받
지 않은 접근을 제한 → 칩입차단시스템
개인정보처리시스템에2. 접속한 주소 등을 재분석IP 하여 불법적인 개인정보
유출 시도를 탐지 → 침입탐지시스템

10. → 법원의 해석( ) 고시 제 조 제 항에 의하면 정보통신서비스 제공자등은4 5
정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 시스템을 설치 운영․
하여야 하는데 이러한 시스템은 개인정보처리시스템에 대한 접속 권한을 주소IP
등으로 제한하여 인가받지 않은 접근을 제한하고 개인정보처리시스템에 접속한,
주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는IP 기능이 포함
되어야 한다.

11. 사실관계 방통위심의의결 년 해킹 사건( , 2014 KT )○
는 침입차단기능과 침입탐지기능을 동시에 구현하는- KT 침입방지시스템
(IPS) 침입탐지기능을 수행하는, 방화벽 웹쉘 공격을 방어하기 위한, 웹쉘 탐지
시스템 등을 설치 운영함ㆍ
이용자 가 일단 고객이용대금 조회 서버에 로그인하면 자신의 고객서비- (A) ,
스계약번호가 아닌 타인 의 고객서비스계약번호를 무작위로 입력(B) 하더라도 이
용자 의 인증단계 없이 그 타인 의 개인정보를 전부 열람할 수 있음(A) (B)
- 특정 에서 비정상적으로 하루 수십만건의 개인정보를 조회IP 함에도 불구하
고 이러한 비정상적인 접근을 차단 또는 탐지하지 못함

12. 결론 현재 행정소송 진행 중( )○
비록 방화벽 웹쉘 탐지 시스템을 설치 운영하였더라도- ( IPS, , )ㆍ
요금 명세서 조회시 접속한 사용자와 고객서비스계약번호 사용자의 일치-
여부를 확인하지 않은 것은 개인정보가 열람 권한 없는 자에게 공개되거나 외
부에 유출되지 않도록 조치를 취해야 함을 규정한 고시 제 항 제 호 위반에 해4 5
당
특정 로 일 최대 만 건의 개인정보를 조회함에도 불- IP 1 34 1,279 구하고 비
정상적인 접근을 탐지 및 차단하지 못한 행위는 고시 제 조 제 항 위반에 해당4 5

13. 퇴직자 접근권한 말소
관련조문 방통위 고시 제 조 제 항 행자부 고시 제 조 제 항: 4 2 , 4 2○
정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정
보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경
또는 말소한다.

14. → 법원의 해석( ) 위 고시 규정은 개인정보처리시스템에 대한 접근권한 을‘ ’
말소하라는 것으로서 개인정보처리시스템으로의 접근 은‘ ’ 단순히 인증절차를 통
한 접속에 국한 되는 것이 아니고 서버와 서버사이의 이동 데이터의 송수신, ,
등을 통하여 개인정보처리시스템에 가까이 다가가는 것을 광범위하게 포함한다
고 보는 것이 상당한바,
퇴직한 자의 계정으로는 개인정보처리시스템에 대하여 어떠한 접근도 가능
하지 않도록 계정을 전면적으로 폐기하거나 계정에 표식을 부여하는 방법 계정,
을 변형하는 방법 등으로 개인정보처리시스템의 전 과정에서 식별되어 접근하
지 못하도록 하는 조치를 취하였어야 할 것임

15. 사실관계 가합 년 해킹 사건(2012 83365, 2012 KT )○
는 퇴직한 자의- KT 사용자계정을 말소N-STEP 하여 에서 인증절N-STEP UI
차를 통과하는 것이 불가능하게 되었지만 해커는 이 사건 해킹프로그램을 통하
여 인증서버 를 거치지 않는 등(AUT) 인증절차를 우회한 결과 퇴직한 자의 사용
자계정을 확인하는 절차인 를 거치지 않고N-STEP UI 접근서버인 서버DB ESB
를 통하여 시스템에 접근함DB

16. 결론 현재 항소심 진행 중( )○
가 퇴직한 사용자의 사용자계정을- KT N-STEP 에서 인증하지 못N-STEP UI
하도록 한 것만으로는 위 고시 규정이 요구하는 기술적 관리적 보호조치를 다하․
였다고 보기 어렵다

17. 웹서버 보호조치
관련조문 방통위 고시 제 조 제 항 행자부 고시 제 조 제 항: 4 9 , 5 4○
정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지 공, P2P,
유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도
록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다.
개인정보처리시스템 개인정보를 처리할 수 있도록 체계적으로 구성한* :
데이터베이스시스템(DBMS)

18. → 법원의 해석( ) 정보통신망법에서 정의하는 개인정보처리시스템은 엄밀한
의미에서 중개 서버 및 서버를 가리키는 것으로 보이나 한편DB DB , 방송통신
위원회는 개인정보 에 접근하기 위한 중계서버 어플리케이션 등도 개인정보DB ,
처리시스템에 포함된다고 보고 있는바 중략( ) 인증 서버는 중개 서버에(AUT) DB
접근하는 것에 대한 관문의 역할을 수행하는바 결국 시스템은 그 전체N-STEP
로서 사용자가 개인정보를 처리할 수 있도록 체계적으로 구성된 넓은 의미의
개인정보처리시스템에 해당한다.

19. 사실관계 방통위심의의결 년 해킹 사건( , 2014 KT )○
이용자 가 일단 고객이용대금 조회 서버에 로그인하면 자신의 고객서비- (A) ,
스계약번호가 아닌 타인 의 고객서비스계약번호를 무작위로 입력(B) 하더라도 이
용자 의 인증단계 없이 그 타인 의 개인정보를 전부 열람할 수 있음(A) (B) 파라(
미터 변조)
의 주장(KT )→ 웹서버는 개인정보처리시스템 이 아니므로(DBMS) 웹페이지
를 통하여 발생한 파라미터 변조는 제 조 제 항이 적용되는 사안이 아님4 9

20. 결론 현재 행정소송 진행 중( )○
방통위는 본 사안에서 웹서버가 개인정보처리시스템에 포함된다는 전제 하-
에 고시 제 조 제 항 위반으로 과징금 의율함4 9

21. 대용량 개인정보 유출의 탐지
관련조문 방통위 고시 제 조 제 항 행자부 고시 조 제 항: 4 5 , 5 1○
정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고
방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 운영하여야 한다· .
개인정보처리시스템에 대한1. 접속 권한을 주소 등으로 제한IP 하여 인가받
지 않은 접근을 제한 → 칩입차단시스템
개인정보처리시스템에2. 접속한 주소 등을 재분석IP 하여 불법적인 개인정보
유출 시도를 탐지 → 침입탐지시스템
실시간 모니터링⇨⇨

22. → 법원의 해석( ) 개인정보 의 접속내역 및 에 접속하여 수행하는 업DB DB
무내역을 실시간으로 모니터링하여 어떠한 업무 형태가 나타나거나 어느 정도
의 트래픽이 발생했을 때 이를 이상 징후로 판단하여 관리자에게 경고하도DB
록 할 것인지는 일률적으로 정할 수 없고 해당 를 보유한 기업이 수행하는, DB
업무의 특성이나 서비스 이용자의 수 정상적인 업무수행 과정에서 평균적으로,
발생하는 트래픽 및 그 양상 등에 비추어, 필요한 업무를 수행하는 것에 지나치
게 방해가 되지 않으면서도 개인정보 보호에 소홀하지 않은 적절한 수준으로
설정할 수밖에 없다.

23. 사실관계 서부지법 년 컴즈 해킹 사건( , 2011 SK )○
관리자의 접속 루트를 통하여 에 접근한 해커가 컴즈의 서- DB DB , SK DB
버에서 만명의 개인정보가 담긴3,500 DB를 개의 파일로 압축하여3 , FTP로 해
킹한 관리자 로PC 2G, 2G, 6G 등 총 의 파일을 보낸 다음에 다시10G , FTP
를 이용하여 외부로 유출함

24. 결론 현재 항소심 진행 중( )○
의 개인정보가 유출되었다는 것은 결국- 10G 대다수 회원의 개인정보가 유
출되었다는 것을 의미하므로 컴즈가 당연히 주의를 기울여야 할 대용량의 트SK
래픽 발생이라 할 수 있음
이 사건 해킹사고가 트래픽이 많이 발생하지 않는- 새벽에 원격접속의 방
법으로 이루어졌다는 점에서 이상 징후로 의심할 가능성이 매우 큰 점
- 방식FTP 으로 내부 컴퓨터를 거쳐 외부망으로 전송하는 동안에 이를 전혀
탐지하지 못한 것은 대량전송을 이상 징후로 감지하는 기준이 설정되지 않은
상태였다고 볼 수밖에 없는 점
결국- 과실에 해당함