작년부터 시작해서 꽤 많은 기업의 고객 정보 유출 사례를 소개드렸었는데요. 대부분 불특정 다수의 기업 임직원을 노린 피싱이나 한 기업을 타겟으로 한 스피어피싱에 의해 직원의 PC가 감염되고, 직원 PC로 부터 접근 가능한 내부 DB 서버 등에서 개인정보를 유출하는 형태로 침해사고가 많이 발생한다고 말씀드렸었죠. 기존에는 이렇게 외부로부터 들어오는 해킹이 대부분 문제였는데, 최근에는 외부 공격이 아닌 기업에 다니는 임직원들.. 즉 내부자에 의해 발생하는 고객 개인정보 유출 사고도 많아졌는데 오늘은 이 부분에 대해 간략히 설명드리도록 하겠습니다.
보통 은행, 카드사, 증권사, 보험사를 묶어서 금융권이라고 부르는데, 이 금융권에 속한 기업들은 다른 기업들보다 법적으로 개인정보 규제가 굉장히 강합니다. 특히 개인정보 유출 사고가 한번 터지면 과징금이 어마어마하죠. 국내 법에서는 정보통신서비스제공자에게 최대로 부가할 수 있는 과징금이 매출액의 3%인데, 사실 이는 해외에 비하면 굉장히 관대하다고 봐야합니다. 한 예로 미국에서는 한 기업이 실수로 개인정보를 유출했다가 과징금 때문에 회사 자체가 파산하는 경우도 있었다고 하니 해외에서는 개인정보 유출에 대해 얼마나 엄격한지 알 수 있죠.
대부분의 개인정보 유출 사례가 외부 해킹에 의해 일어났기 때문에 지금까지는 기업에서는 내부 시스템을 보호하는데 많은 노력을 기울였는데요. 그런데 이번에는 보험사의 소속 지원이 170여명의 고객 정보를 외부인에게 직접 유출한 케이스입니다. 평소 알고지내던 흥신소 직원이 특정 고객의 정보를 요청하면 이름과 주소, 연락처, 주민등록번호 등을 알려주는 방식이었다고 하죠. 개인정보를 알려주고 돈을 받는 대가성은 없었다지만, 개인정보를 안전하게 처리해야할 의무를 가지고 있음에도 불구하고 제3자에게 무단으로 제공하는 것은 명백한 위반 행위입니다.
무너지는 금융 보안… DB손해보험, 흥신소 업자에 고객 170명 정보 유출 - 머니S
DB손해보험에서 고객 개인정보를 흥신소 업자에 넘긴 사고가 발생했다. 12일 금융권에 따르면 지난달 22일 서울경찰청은 DB손해보험에 소속 직원 A씨가 170여명의 고객 정보를 외부인에 유출했다
moneys.mt.co.kr
개인정보 유출 사고에 대응하기 위해서 외부의 공격에 대비하여 내부 시스템을 안전하게 방어하는 것도 중요하지만, 이제는 내부자에 의해 개인정보를 외부로 유출할 수 없도록 더 신경써야할 때가 온 것은데요. 기술적으로는 내부에서 외부로 기밀정보를 유출할 수 없도록 하는 DLP(Data Loss Prevention)와 같은 보안 솔루션을 잘 활용하는 것도 중요하겠지만, 법적으로 처벌을 강화한다던지 기업의 개인정보처리자나 개인정보취급자의 인식 제고도 중요할 것으로 보입니다. 오늘은 금융 내부자에 의한 개인정보 유출 사례에 대해 간단히 이야기해봤습니다. 그럼 다음 에세이에서 뵙도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| MS 오피스 제로데이 취약점 사례 (0) | 2022.06.02 |
|---|---|
| 분실된 암호화폐 복구 사칭 악성 메일 사례 (0) | 2022.06.01 |
| 국내 심스와핑 사건 유심 기지국 정보 논쟁 (0) | 2022.05.22 |
| 망분리 시스템을 공격하는 USB를 이용한 악성코드 (0) | 2022.05.21 |
| 애플리케이션 API 보안 취약점 사례 (0) | 2022.05.15 |
댓글