본문 바로가기
Security Essay

안전조치 의무사항 위반 개인정보 유출 사례

by _Jay_ 2022. 12. 5.
반응형

 

 

최근 개인정보 유출로 인해 발생하는 사건들이 굉장히 많아지면서, 개인정보보호위원회에서 기업들이 개인정보보호법을 잘 지키고 있는지 전수 조사에 들어간 것 같습니다. 일반적으로 대기업이라면 보안이 잘 지켜졌으리라 생각하겠지만, 통신 3사중 한 곳인 LG유플러스뿐만 아니라 어느 정도 이름이 알려진 컴투스와 같은 게임 회사에서도 개인정보보호법 위반으로 과태료를 부과했다고 하는데요. 오늘은 기업들이 어떠한 안전조치 의무사항을 위반하여 개인정보가 유출되었는지에 대해 간단하게 알아보도록 하겠습니다.

LG유플러스에서는 임직원의 교육시스템 내 일부 페이지가 로그인 없이 접근할 수 있었고, 특수 문자 필터링 기능이 적용되지 않아 SQL 인젝션 공격을 수행할 수 있었다고 합니다. 만약 관리자 페이지였다면, 시스템 설계 단계에서 보안적인 부분이 고려되지 않았다는 것을 반증하는데요. 보통 관리자 페이지는 아이디/비밀번호로 로그인하는 것 뿐만 아니라 내부망에서만 접근이 되어야하고, IP 접근 통제나 2차 인증이 필수적으로 적용되야 하죠. 그리고 게시판에서 검색란이나 입력 폼에 SQL 인젝션 공격이 수행되지 않도록 코드 내 특수 문자 필터링을 하는 로직을 추가해야 안전할 겁니다.

그리고  관리적인 의무사항을 위반하여 발생한 사례를 보면, 누리미디어라는 곳에서는 홈페이지에 경품 이벤트 당첨자 정보를 게시하면서, 데이터 마스킹과 같이 비식별화된 정보가 아닌 전체 참여자의 개인정보 파일을 잘못 게시하여 개인정보가 유출되었다고 하는데요. 로젠에서는 택배 영업소장이 제3자에게 개인정보를 조회할 수 있는 계정을 제공하여 고객의 개인정보가 유출되었습니다. 또한 국립중앙박물관에서는 개인정보가 포함된 설문지를 파쇄하지 않고, 쓰레기장에 버린 것이 적발되었다고 합니다.

 

 

허술한 보안시스템… 개인정보 유출 8개 업체 과태료 - 머니S

LG유플러스와 컴투스 등 8개 기업이 개인정보보호 법규를 위반했다는 이유로 개인정보보호위원회(개인정보위)로부터 과태료를 부과받았다. 해당 기업들은 보안 시스템 취약으로 해킹공격에 노

moneys.mt.co.kr

 

위에서 간단하게 기술적인 안전조치 의무사항 위반 사례와 관리적인 안전조치 의무사항 위반 사례에 대해 말씀드렸는데요. 개인정보 유출 사고의 경우 외부 해킹과 같은 기술적인 요인뿐만 아니라 담당자의 실수 또는 인식 미비와 같은 관리적인 요인에서도 발생합니다. 사실 기업의 보안수준 진단을 진행하다보면, 기술적인 위반 사항은 쉽게 조치되고 있지만 관리적인 위반 사항은 늘 제자리인 경우가 많았죠. 그렇기 때문에 기술적인 보안 교육도 중요하지만 개인정보보호 교육과 같은 담당자의 인식 제고 노력도 필요하다고 봅니다. 그럼 이번 글은 이만 줄이도록 하죠. 읽어주셔서 감사합니다.

 

 

반응형

댓글