9. 개인정보 유출 사고 시 기업의 역할
1. 사고 발생 이전 단계
- 개인정보의 수집을 최소화 (서비스 이용에 필요한 수준까지만!)
- 수집된 정보를 암호화하여 저장
- 개인정보 침해사고가 발생할 수 있는 가능성을 점검
- 개인정보의 생명주기에 따라 조사, 분석,평가
○ 개인정보 유출 시 통지 및 신고
정보통신서비스 제공자 등은 개인정보의 분실 ∙도난 ∙유출 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지 ∙ 신고해서는 아니된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. <정보통신망법 제 27조의3>
- 유출 등의 사실을 안 때 이용자에게 알려야 할 사항
① 유출 등이 된 개인정보 항목
② 유출 등이 발생한 시점
③ 이용자가 취할 수 있는 조치
④ 정보통신서비스 제공자 등의 대응 조치
⑤ 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
2. 사고 발생 단계
- 최대한 사고를 빨리 탐지하고, 안전하게 사고경위를 기록하며, 네트워크와 시스템으로부터 침해사고 관련 증거들을 수집
- 사고발생 시점에서 개인정보 유출 사실을 확인할 수 있는 개인정보 모니터링 시스템이 갖추어져야 함
- 시스템을 종료하지 않은 상태에서도 실시간으로 사고에 대한 증거를 수집할 수 있는 디지털 포렌식(Digital Forensic) 기술의 활용
① 개인정보 모니터링 시스템
개인정보가 수집, 이용, 저장, 파기되는 생명주기 전체에 걸쳐 노출 여부, 권한 없는 자에 의한 접근 여부, 부적절한 이용 여부 등을 상시적으로 모니터링하고 이상 징후 발견 시 경고할 수 있는 시스템이 운영되어야 한다.
② 로그 기록 및 보관
특정 컴퓨터 시스템 및 네트워크에서 발생한 모든 이벤트들을 로그로 기록한다. 그리고 기록된 로그들이 위∙변조되지 않도록 안전하게 보관함으로써 개인정보 사고의 원인을 분석할 수 있고, 디지털 증거를 확보할 수 있게 해준다.
③ 디지털 포렌식의 활용
디지털 포렌식이란 디지털 장비들로부터 디지털 증거를 보존, 수집, 식별, 분석, 해석, 기록 제출하는 절차 및 기술을 말한다. 사고 발생 당시 및 직후에 디지털 포렌식 기술을 통해 개인정보 사고 현장으로 부터 법적 증거를 확보함으로써 기업의 면책 및 책임 감경을 돕는다. 특히 정보통신망법에 의하면 기업 측이 과실이 없음을 입증하도록 입증책임을 전환하고 있으므로 디지털 포렌식을 통한 증거확보가 중요하다.
3. 사고 이후 사후처리 단계
- 사고 이후의 기업의 대응전략은 신속하고 적절하게 사후 조치를 수행하는 것
- 2차적인 피해가 발생하지 않도록 막으면서 개인들을 피해로부터 회복할 수 있도록 지원해 주는 것
- 신속하게 (24시간 이내) 관련 기관에 사고발생 신고를 하고, 디지털 포렌식 기술을 통해 사고관련 증거를 수집, 분석함으로써 향후 피해 재발 방지대책 및 피해 경감을 위한 조치를 취해야 함
① 개인정보 유출 사실 통지시스템 구축
기업이 개인정보 유출 사실을 인지하였을 경우 지체 없이 해당 정보주체에게 사고 경위와 피해상황, 조치방법 등과 관련 사실을 통지하도록 하는 제도로, 개인정보 유출로 인한 피해의 확산방지를 위한 신속한 조치 및 정보주체의 효과적 권리 구제를 위해 반드시 필요
② 피해확산 방지시스템 구축
유출 정보의 외부 확산 및 2차적인 피해를 막기 위해 피해자 본인이 구체적인 피해사실과 외부로 유출된 정보를 이용한 도용 현황을 본인이 확인할 수 있는 본인 피해확인 서비스를 제공해 주거나 피해자들에게 아이디와 비밀번호를 변경하도록 요청하는 조치가 필요