490 likes | 1.24k Views
보안사고와 법제도 - 내부자에 의한 정보유출 방지 전략. 2011. 4. 5. 구태언 변호사 tekoo@kimchang.com. |. Contents. 사고 • 사례를 통한 기업보안 내부정보 • 개인정보 유출 처벌 제도 보안준수를 위한 유의사항 내부자 정보유출 방지 전략. 1 l. 1 l. 사고 • 사례를 통한 기업보안. 내부정보 유출 유형. 전 / 현직 직원에 의한 내부정보 유출. 전형적인 내부정보 유출 유형 80% 이상의 내부정보 유출이 전 / 현직 직원에 의하여 이루어지고 있음.
E N D
보안사고와 법제도- 내부자에 의한 정보유출 방지 전략 2011. 4. 5. 구태언 변호사tekoo@kimchang.com |
Contents 사고•사례를 통한 기업보안 내부정보•개인정보 유출 처벌 제도 보안준수를 위한 유의사항 내부자 정보유출 방지 전략 1l 1l
내부정보 유출 유형 전/현직 직원에 의한 내부정보 유출 • 전형적인 내부정보 유출 유형 • 80% 이상의 내부정보 유출이 전/현직 직원에 의하여 이루어지고 있음 협력업체/하도급업체의 고객사 내부정보 유출 • 최근 장비업체에 의한 경쟁사 반도체 내부정보 유출 사건 이후, 새로운 유형의 내부정보 유출 사례로 주목을 받고 있음 3l
내부정보 유출 처벌 사례 – 경쟁사 전직 1 2 고위 임원 및 관리직 으로 재직하면서 중요 자료 입수 Water, 발전사업을 신규로 추진하는 경쟁사로 전직 3 4 주요 정보를 회사에 반납하지 않고 USB 외장하드 등에 담아 퇴사 경쟁사에서 대규모의 입찰 준비 등 사업실행 착수 전직 중 Water·발전 핵심기술 자료 유출(2007) 4l
내부정보 유출 처벌 사례 - 계속 형사적 조치 • 주모자 2명은 구속 기소, 나머지 4명은 불구속 기소 • 전원 유죄 판결 및 압수물 몰수 민사적 조치 • 형사 대상자 6명에 대한 가압류 신청(손해배상청구권) 17건 발령 • 경쟁사로 전직한 13명에 대한 전직금지가처분 신청 전원에 대해 퇴사 후 3년간 전직금지결정 5l
내부정보 유출 처벌 사례 – 협력업체 회유 A사 A사 A사 A사 하도급 업체를 통한 전동차 설계 도면 유출 사건(2005) • 경쟁사가 협력업체에게 금품을 제공하면서 내부정보를 입수하여 제품 개발에 도용한 사안 • 검찰, 3명 구속 기소 등 총 8명 재판 회부 • 전원 유죄 확정 • 협력업체로 제공되는 자료가 경쟁사에게 입수될 수 있음에 유의 6l
내부정보 유출 처벌 사례 – 타사 정보 유출 납품시 입수한 고객사의 정보를 고객사의 경쟁사에 누설한 사례 • 장비를 납품하는 과정에서 경쟁사의 내부정보를 취득하여 경쟁사의 경쟁사에 누설 • A사 전대표 구속기소, 경쟁사 직원 및 을 반도체 회사 직원 기소(총 15명 기소) • 외부업체와의 거래시, 경력직 직원 입사시 타사 내부정보 내부반입 금지 필요 <경쟁사 반도체 기술유출 개요(검찰 발표)> 해외 반도체 경쟁업체 ? A사 장비업체 (미국 본사) 경쟁사 반도체, H사 반도체 등 반도체 기술과 내부정보 본사에 전달 A사 장비업체 (한국지부) 경쟁사 반도체 과장 N씨 등 직원 4명이 회사 기술 및 내부정보 유츌 H사 반도체 전무 H씨(구속)등 직원 5명이 경쟁사 반도체 국가 핵심기술 등 불법 취득 경쟁사 반도체 사업부 H사 반도체 사업부 경력직 직원 입사시 경력직 직원 입사시 전대표 K씨(현A사 장비엽체 부사장)가 기술유출 갑 반도체 회사 을 반도체 회사 7l
내부정보 유출 처벌 사례 – 경쟁사 전직 • 회사로부터 퇴사통보를 받고 사실상 업무에서 배제된 상황에서 경쟁사와 접촉 • 전직 결정 이후 경쟁사 임원의 부탁으로 회사의 내부정보를 누설 • 7회에 걸쳐 제조원가, 기수지표, 정제, 설비유형 등의 자료를 이메일로 유출 • 2011. 2. 7.자로 기소 바이오 제품 관련 유출 사례 8l
I II 최근 개인정보 유출 및 오남용 사례 사고의 유형 • 사업자가 문제되는 경우 개인정보의 부적절한 이용/제공, 정보보호법규 위반 • 사업자외의 제3자가 주도하는 경우 Hacking에 의한 고객정보의 유출 주요 사례 • 게임사의 아이디 등 유출 (피해자 1만명 / 1인당 10만원) • 전자회사의 입사지원서 유출(피해자 31명 / 70만원) • 쇼핑몰 고객정보 해킹사건(피해자 1,000만명으로 보도) • 통신회사 고객정보 유출사건 (피해자 600만명으로 보도) • 정유사 고객정보 유출사건 (피해자 1,000만 이상으로 보도)
개인정보사고에 대한 사회적 반응 2.서울고법은 L사의 입사지원자 정보유출 사건 손해배상판결 선고 3.서울고법은 경쟁사 고객정보 유출 사건 벌금형 선고 4.행안부는 쇼핑몰의 개인정보 취급위탁 실태점검 후 정보통신망법 위반 업체들에게 과태료 등 부과 1.직장인 57% “개인정보 유출될까 불안해” 언론보도내용
내부정보 유출시 처벌 제도 부정경쟁방지 및 내부정보 보호에 관한 법률 • 대부분 내부정보는 내부정보로서 보호됨 내부정보 공연히 알려져 있지 아니하고 독립된 경제적 가치를 가지는 것으로서, 상당한 노력에 의하여 비밀로 유지된 생산방법ㆍ판매방법 기타 영업활동에 유용한 기술상 또는 경영상의 정보 내부정보의 요건 비공지성(비밀성) 경제적 유용성 비밀관리성 12l
내부정보 유출 발생시 법적 조치 퇴사자의 경쟁업체 취업사실 인지, 자사의 내부정보를 경쟁업체가 사용하고 있는 사실 인지 내부정보 유출정황 자체 조사 법적 조치 착수 형사고소 형사고소 전직금지가처분 내부정보침해금지가처분 / 내부정보침해금지청구 가압류 /손해배상청구 법원, 사건의 난이도에 따라 기간에 큰 차이 (통상 4~8개월) 고소장 접수일로부터 구속시 10개월 ~ 1년 (불구속시 기간 증가) 2~3주 5~7일 (보정명령시 추가기간 소요) 1-2개월 2~3일 가처분신청서 접수 심문기일(1~2회) 심문종결 및 결정 불복절차 고소장 접수 기소 공판 판결 및 상소 압수수색 구속 가압류신청서 접수 담보제공명령 및 담보제공 심리 및 결정 집행 불복절차 1-2개월 1-2개월 1-2개월 소장접수 소장부본 송달 답변서 제출 변론기일 판결 및 상소 전직금지가처분 내부정보침해금지가처분 / 내부정보침해금지청구 가압류 /손해배상청구 법원, 사건의 난이도에 따라 기간에 큰 차이 (통상 3~6개월) 가처분 2~3주 가처분신청서 접수 심문기일(1~2회) 심문종결 및 결정 불복절차 본안 1-2개월 1-2개월 소장접수 소장부본 송달 답변서 제출 변론기일 판결 및 상소 가처분 본안 13l
최근의 개인정보 관련 동향 • 신용정보법, 정보통신망법, 금융실명법, 전자금융거래법, 방문판매법, 전자소비자보호법, 주민등록법, 외국환거래법 기타 업권별 법률(은행법, 여전법, 증권거래법, 보험업법 등)등 적용가능한 10여개 법률이 빈번히 제/개정 • IT 전문가가 아닌 법률전문가만이 Update 가능 • 최근 개인정보보호에 관한 일반법이라고 할 수 있는 개인정보보호법 제정 복잡한 적용법령 • 법원, 검찰, 경찰, 행정안전부, 방송통신위원회, 금융감독원 등의 보수적 법해석 • 법률전문가의 법률 분석 필요 유관기관의 엄격한 법해석 경향 형사와 민사사건의 동시 진행 • 양 사건의 증거 공유 및 상호 참조 • 초기 진상파악, 대응전략 수립 등 초기단계에서의 대응이 매우 중요
최근의 개인정보 관련 동향 • 인터넷카페 등 이용 대규모 원고단 형성 용이 • 피해자측 전문 변호사의 집단소송 조장 집단소송의 양상 • 현재까지는 실질적 손해 입증을 불요하고, 위자료를 인정해오는 경향 • 법원 판결: 현재까지 1인당 10만원 ~ 70만원선 / 개인정보분쟁조정위의 경우 100만원 이상도 존재 법원 및 개인정보분쟁조정위의 위자료 인정 사례 증가 • 행정안전부, 방송통신위원회, 금감원, 공정위, 소비자보호원, 정보보호진흥원, 개인정보분쟁조정위, 언론기관, 시민단체 등 문제 발생시 유관기관의 동시적 문제제기
행정벌 • 과태료, 과징금등의 대상이 될 수 있음 형사벌 • 대부분의 개인정보법률에 형사처벌(징역, 벌금형) 조항 존재 • 양벌규정 적용으로 법인도 처벌 위험요소 민사책임 • 개인정보보호 관련 법률 위반 사실 자체가 “불법행위”의 근거 • 각 개별 법률에 입증책임의 전환 규정 (개인정보보호법 OO조, 신용정보법 28조, 정보통신망법 32조) 주요 개인정보보호 법률상의 위험요소
5 년이하 5 천만원 이하 3 년이하 3 천만원 이하 2 년이하 1 천만원 이하 • 공공기관의 개인정보처리업무방해 목적 공공기관 처리 개정보 변경 또는 말소 • 정보주체 동의 없이 제3자 제공,이용, 알면서도 영리 또는부정한 목적으로 제공받은 자 • 민감정보 처리, 고유식별정보처리 위반 • 업무상 지득한 개인정보 누설,타인이용에 제공, 자기 또는타인의 부당한 이익 도모목적으로 처리, 알면서 제공받은 자 • 타인의 개인정보 멸실, 변경,위조 또는 유출 • 부정한 목적으로 영상처리기기를 설치목적과 다른 목적으로임의조작, 다른 곳 비추는 자,녹음기능 사용한 자 • 거짓 부정한 수단이나 방법에의하여 개인정보 취득, 개인정보처리에 관한 동의 얻는 행위,알면서 영리 또는 부정한 목적으로 개인정보 제공받은 자 • 직무상 알게 된 비밀 누설,직무상 목적 외 사용 • 안전성 확보에 필요한 보호조치 미비로 개인정보 분실, 도난, 누출, 변조 또는 훼손 • 정보주체의 정정 삭제요구에도 불구하고 필요한 조치 취하지 않고 계속 이용하거나 제3자 제공 개인정보보호 법안의 규제 내용
임직원의 내부정보 취급시 유의사항 업무처리 중 유의사항 퇴직시 유의사항 • 부적절한 등급 분류, 접근권한 설정으로 비인가자의 접근을 용이하게 하는 행위 • 업무와 무관한 직원의 자료제공 요구에 대응한 부적절한 행위 • 협력업체 자료 전달시 계약목적과 무관한 내부정보의 제공 • 업무와 무관한 내부정보에 접근, 열람을 시도하는 행위 • USB 등 휴대용 저장매체의 사용, 출력을 통한 내부 정보의 저장, 반출 행위 • 과도한 DRM 해제와 정보통신망을 이용한 내부정보의 전송, 출력 행위 주요 사례 예시 • 업무 편의성을 이유로 내부정보의 부적절한 등급분류, 접근권한 설정 행위 • 비인가자의 중요 정보 접근 이력 및 부당 소지 행위 • 대량의 DRM 해제 후 비인가 USB 등 휴대용 저장매체 사용 또는 노트북 무단 반출 행위 • 대량의 중요 정보 출력 및 전송 행위 19l
타사 내부정보 보호를 위한 유의사항 재직자의 유의사항 경력입사자의 유의사항 • 제3자에게 업무범위와무관한중요내부정보자료를요구 • 자료 공유 등접근권한무관심으로제3자로부터 타인의 비밀자료입수 • 타인의 비밀자료를 재차 제3자에게 전달 • 퇴직시 수집된 타사 내부정보 소지 • 전 직장임직원으로부터타사정보 수집 • 불법취득한 타사 내부정보를 내부 공유 • 경쟁자의 내부정보를 고객사를 통해 입수 • 협력업체로부터 타사 내부정보 입수 주요 사례 예시 • 외장하드 등 저장매체에 타사 내부정보 소지 • 사내 파일서버 또는 공유 폴더에 타사 내부정보 저장 • 사내 이메일을 통해 타사 내부정보 송수신 • 타사 내부정보 하드카피 자료를 공공연하게 소지, 열람 • 외부업체와의 자료 교환을 위한 대가로 타사 내부정보 누설 20l
보안솔루션 투자는 할만큼 했는데… 매체 제어 출력 제어 DRM DLP 정보
IT보안은 CEO의 관심 몇 순위? Enterprise Risk Management Legal, Physical Security, Financial, HR, Safety, Press, IR, Marketing, R&D… 융합된 보안의 중점에 IT보안이 가교 역할을 해야 함. 조직몰입도 높은 직원의 보안의식 기업 보안에 가장 필요한 것
내부 유출 방지 역량 강화 요소 • 핵심 정보와 이상 행동 식별 역량이 가장 중요 • 업무상 정당한 유출과 부당한 유출의 구별 • 유출경로별 로깅 시스템 보강 • 로그 모니터링 / 분석 지원 시스템 • 이상 징후 발견 유형별 대응 절차 마련 • 인사, 보안, 법무팀의 협업 • 종합 보안전담 기구에 의한 전사적 의사결정
무엇을 할 것인가? • 정보보안팀의 진화 : 기업의 종합 위험 관리 • 정보보안감사 기능의 도입 : 현업과 독립성 확보로 보안조직의 적정성 실현 • 내부정보유출 방지 방법의 변화 • 가로막는 보안에서 지켜보는 보안으로 • ‘무엇’을 지켜 볼 것인가? • 현업팀과 정보 분류 협업