Category Archives: Privacy Audit

개인정보보호

디지털 포렌식 기반 개인정보보호 관리 실태 점검

최근 개인정보 유출 사고가 연이어 발생하고 있다. 이제 몇 백 만건, 몇 천만건 유출되었다는 뉴스를 접해도 아무런 느낌이 없다. 카드사 1 400만건 유출 때문인 듯 하다

기업은 보다 적극적인 방법으로 기업의 중요정보(개인정보, 영업비밀 등) 유출에 대한 많은 관심과 투자가 필요하다. 자산규모가 크다고 해서 작다고 해서 정보유출에 심혈을 기울이지 않는다면 그 기업은 짧게는 몇 달 길게는 몇 년 동안 언론의 비난을 피하기 어려울 것이다. 수년에 걸쳐 쌓아왔던 기업 이미지 어떻게 회복 할 수 있겠는가?

감당 할 수 있는 리스크라면 수용하면 된다. 그렇지 않다면 지금부터라도 적절한 대응책을 마련하고 준비해야한다.

TV 뉴스, 신문, 매거진 등을 통해서 이미 잘 알 알고 있겠지만, 최근 카드 3사의 유출사고의 원인은 협력업체의 직원으로부터 시작되었다. 그리고 외부 해킹을 통한 유출도 위험하지만 개인정보 유출 건수로만 봤을때 직원(협력업체 포함)에 의한 유출이 더 위험하다는 것을 아래 표를 보면 알 수 있다.

개인정보유출현황

대부분의 기업들은 여러가지 많은 프로젝트를 협력업체와 같이 수행을 하게 되는데, 특히 개인정보를 취급처리하는 협력업체의 경우에는 내부통제를 보다 강화해야 한다.

특히, “갑”의 사업장에 들어와서 프로젝트를 수행하는 경우에는 내부통제 우회가 있는지 정기적으로 모나터링 해야한다. 외주업체가 개발관련 프로젝트를 진행할때 데이터베이스(개발DB, 백업DB, 운영DB )에 접근해서 프로젝트를 할때가 있다. 아니 거의 대부분의 프로젝트들은 데이터베이스와 민감하게 관련되어 있다.

데이터베이스 접근 솔루션이 있다 하더라도 Operation Error 또는 인지하지 못한 홀(Hole)들이 숨어 있어 위험에 상시 노출되어 있다.

국내 임직원에의한 개인정보 유출 경로를 살펴보면 아래와 같다.

유출경로

이번 유출 사건과 관련없는 다른 회사들은 유출된건이 없다고 하였지만, “과연 그럴까? 확신할 수 있을까? 검증 방법이 신뢰성이 있을까?” 내부 통제정책이 완벽했다고 해서 가지고갈 놈이 못가져 갔을까? 현업에 근무를 해보면 알겠지만 마음먹고 작정하면 다 가져 갈수 있다고 말을 한다.

고객정보를 취급 처리하고 있는 기업의 대표가 관리 비용이 아깝다고 생각하면, 집으로 가야할 것이다. 아니 집으로 간다. 지금 당장은 아니겠지만

그러면, 이번 사건의 Fact 만을 보았을때, 무엇이 문제이고 어떻게 해결해야 할것인가?

예방이 그 무엇보다 우선이다. Prevention cost. 즉 예방비용을 늘려야한다. 그리고 detection 해야한다. 금융권과 달리 제조 업체에서는 제품의 품질을 높이기위해 prevention cost, appraisal cost 에 많은 시간과 자원을 투자하고 있다 그렇다면 예방을 위해서 무엇을 해야할까?

첫째, 내부통제 시스템 모니터링을 해야한다.

보안 정책이 회사 규정에 맞게 설정되고 운영되고 있는지 누군가는 모니터링 해야된다. 권한이 부여되지 않았는데 민감한 시스템에 접속을 한다던지, 우회 프로 그램을 사용하여 보안정책을 우회하는지 등등 발생 가능한 리스크를 정리하고 상시 모니터링해야한다

둘째, 전 직원을 모니터링하는데는 한계가 있다. 그래서 디지털 포렌식 기반으로 주기적 또는 비주기적 불시 점검을 수행해야한다.

디지털 포렌식 기반, 즉 임직원의 PC의 하드디스크를 정밀 분석하여 개인정보 보유 실태, 오남용 여부를 깊이 있게 분석할 수 있다. 수사기관에서는 압수수색 영장을 가지고 디지털 기기등을 압수수색 할 수 있는데 기업에서는 어떻게 디지털 포렌식 포렌식을 할 수 있을까?

실제 해보면 어렵지 않은데, 시도하지 않아서 어렵게 생각할지도 모르겠다. 기업에서는 임직원 동동의서에부터 시작할 수 있다.

 

점검절차

개인정보 관리실태 점검 절차는, 고위험 직군 식별, HDD 이미징 및 포렌식 분석, 추적조사, 대응방안 수립 4단계로 개인정보 관리실태를 점검할 수 있다.

고위험직군

 

개인정보 유출 사고 발생 이전에 주기적 또는 불시 점검을 수행하였더라면아니.. 불시 점검, 주기적 점검을 한다는 것을 협력 업체 직원들에게 미리 알렸더라면.. 이런 사태가 발생하지 않았을 것이다.

 

셋째, 여기서 끝나면 안된다. 프로젝트가 완료되면 유지보수 계약을 하거나 또는 계약 종료가 된다.

즉 개인정보 취급처리 위탁업체에 대해서는 체계적인 관리 시스템을 마련하여 관리해야한다. 위탁업체로 개인정보가 어떻게 흘러가서 수집,이용,처리,보관되고 파기되는지 확인해야하는데, 단순히 업체 담당자 인터뷰, 업체에서 보내준 자료를 통해서 확인하면 절대 안된다. 왜냐하면 실질과 다르기 때문이다.

어떻게 실질과 다른지를 알아내는 방법이 바로 디지털 포렌식이다. , 현재 시점(점검 시점)에는 잘되어 있는데 어제까지는 아니였기 때문이다.

유지보수를 하고 있다면 주기적, 불시 점검을 해야하며, 계약 종료 업체에 대해서도 마찬가지로 점검해야 한다.

불과 몇개월전 계약이 종료된 개인정보 처리 위탁업로 부터 개인정보 파기확인서를 징구 했다.

최근에 협력업체에 방문해서 파기점검을 했더니 이 협력업체는 여전히의 고객정보를 보유 및 이용하고 있었다.

그렇기 때문에 기업의 내부든 협력업체든 임직원의 PC 분석을 통해 과건와 현재를 알고, 미래 대대응방안 마련하는 것이 필요하다.

 

 

 

 

 

의료기관에서의 환자관련 정보 유출 사례

환자 진료정보가 포함된 출력물 분실(Massachusetts General Hospital)

  • 병원 직원이 192명의 HIV/AIDS 환자의 외래 일정이 포함된 출력물을 지하철에 놓고 내림
  • 출력물에 포함된 정보
    * 생년월일, 건강보험회사, 진단명, Health Care Provider의 이름
  • 100만달러(약 10억원) 벌금
  • Action Plan과 Semi-Annual Report를 3년동안 HHS에 제출

내부 직원의 무단 열람

  • 2004~2006년 동안 환자의 개인정보를 무단으로 열람한 의료기관 내부 직원이 무련 120명이 넘음
  • 2005~2009년 사이 병원 관계자 몇 명이 유명인사의 의료기록을 무단 열람으로 해고
  • 2011년 유명인사 두명이 의료기록을 무단 열람해 86만5,500달러(약 9억 2,200만원)의 벌금
  • Health System의 준거성에 대한 독립적인 기구의 평가와 향후 3년간 관련 계획 제출

내부 직원의 개인건강정보 유출

  • 유명 연애인, 운동선수, 정치가 등 유명인사 및 지인의 진료기록/진료내용 누설
  • 환자의 별도 동의 없이 연구, 교육, 수련 등 진료외 목적으로 환자의 개인건강정보를 제 3자에게 제공
  • 직원의 개인정보를 업무 외 목적으로 이용 및 제3자 제공

의료정보

환자 진료정보의 인터넷 게시(Stanford Hospital)

  • 20,000명의 응급환자의 건강정보가 포함되어 있는 스프레드쉬트를 암호화하지 않은 상태로 웹사이트에 1년동안 게시함
  • 스프레드쉬트에 포함된 정보
    * 환자이름, 진단코드, 입퇴원일자, 청구금액
  • 관련있는 환자에게 정보유출에 대한 메일 발송
  • 연방/주 정부에 즉시 신고

의료장비에서의 환자 진료정보 유출(Beth Israel Deaconess Medical Center)

  • Radiology workstation COmputer 에서 2,021 Radiology  환자의 개인건강정보가 인터넷을 통해 알지 못하는 장소에 전송
  • 장비업체에서 유지보수 후 보안 설정을 하지 않음으로 발생
  • Workstation에 포함된 정보
    * 환자이름, 성별, 생년월일, 병원등록번호, 영상의학검사 시행일자
  • 환자에게 고지, Radiology Workstation의 인터넷 연결 차단 및 최신의 Anti-Virus Software 설치