개인정보보호위원회에서는 매달 전체회의를 진행하면서 개인정보보호 법규를 위반한 기업에 대해 과태료를 부과하고 시정명령 조치를 의결하고 있습니다. 작년 제18회 전체회의 때는 현대자동차와 농심 등 4개의 사업자에게 안전조치 의무를 위반하여 총 1800만원의 과태료를 내게 했다고 하는데요.
이렇게 개인정보보호법을 위반하여 과태료를 받는 기업들이 늘어날수록 다른 기업들에서도 과태료를 받지 않기 위해 개인정보보호에 좀 더 심혈을 기울이지 않을까 싶죠. 다만 단순 과태료를 받아서 끝났다가 아니라 어느 이유 때문인지를 아는 것이 더 중요하기에, 오늘은 해당 기업들에서 어떤 안전조치 의무를 위반했는지 말씀드리도록 하겠습니다.
우선 현대자동차에서는 테스트가 완료되지 않은 소스코드를 운영 서버에 배포하여 6명의 개인정보를 유출하였다고 합니다. 그런데 여기서 한 가지 더 짚고 넘어가야 할 것이 있는데요. 기업에서는 기본적으로 서비스를 개발할 때 테스트 서버와 운영 서버가 나누게 되는데요.
그리고 테스트 서버에서는 실제 개인정보 데이터를 가지고 테스트를 하는 것이 아니라, 개인정보를 가명처리하거나 의미 없는 테스트 데이터를 만들어서 가지고 테스트를 해야합니다. 하지만 기사의 내용대로라면 개인정보 유출 이전에 테스트 데이터를 사용하는 측면에서도 위반했다고 보실 수 있겠죠.
그리고 농심에서는 서비스를 이용할 때 간편가입을 지원하는 기능에서 이용자를 식별할 수 있는 값의 유효성을 검증하지 않아서 1명의 개인정보가 유출되었다고 합니다. 사실 이 부분은 기사의 내용만 보고는 정확히 어떤 방식으로 유출되었다는 것인지 알기 어려운데요.
제 예상으로는 간편가입 기능을 통해 가입 시 사용자의 정보를 서버에 요청(Request)하고 응답(Response) 받는 중 요청 메시지의 파라미터를 변조했을 때, 서버 측에서 해당 값이 타당한지 검증하지 않아서 응답 메시지에 다른 사용자 정보가 유출되지 않았을까 생각합니다.
아이엠오라는 기업에서는 개인정보처리시스템을 구축할 때 전반적인 보안 사항을 지키지 않을 것으로 나타났는데요. 비밀번호를 DB에 저장할 때 일방향 암호화를 거친다던지, 개인정보처리시스템 접속 기록을 법령 상에 나와 있는 1년 이상 보관하지 않았다던지 하는 부분을 위반했습니다.
또한 외부의 해킹 공격으로 인해 개인정보가 유출되었음에도, 이를 신고하지 않고 사용자에게도 통지하지 않았다고 합니다. 그리고 엘피아이팀이라는 기업에서는 외부에서 개인정보처리시스템 접근 시 OTP와 같이 2차 인증을 거지치 않고 접속하여, 안전한 접속 수단의 미적용이라는 항목을 위반한 것으로 보입니다.
개인정보보호법에 익숙하지 않으신 분들이라면 오늘 제가 설명드린 위반 항목들이 정확히 어떤 것들인지 잘 와닿지 않으실 거라고 생각합니다. 하지만 꼭 보안에 종사하지 않더라도 기업의 서비스와 시스템을 설계하고 개발하시는 분들은 어떤 기능에서 보안 결함이 발생할 수 있는지 아셔야 하니 주의 깊게 보셨으면 합니다.
특히 위와 같은 위반 항목들에 대한 설명은 개인정보보호 포털에서 "개인정보의 기술적 관리적 보호조치 기준 해설서"를 다운로드 받으셔서 볼 수 있으니 참고하시기 바랍니다. 그럼 이번 글은 여기서 마무리 하겠습니다. 감사합니다.
'Security Essay' 카테고리의 다른 글
주요 기업 정보보호 의무 공시 현황 살펴보기 (0) | 2023.02.10 |
---|---|
클라우드 서비스 제공 업체가 악성코드에 감염된다면? (0) | 2023.02.09 |
윈도우 종속성 탈피를 위한 개방형 OS 개발 (0) | 2023.02.07 |
LG유플러스 18만명 개인정보 유출 사건 (0) | 2023.02.06 |
2023년에도 빠르게 증가할 랜섬웨어 공격 추세 (0) | 2023.02.05 |
댓글