암호문 공격 분류
암호문에 대한 공격은 다음과 같이 구분할 수 있습니다.
|
|
|
|
암호문단독공격 (COA) Ciphertext only Attack |
- 공격자가 암호키를 사용하여 같은 알고리즘으로 암호화된 암호문 집합보유한 경우 이용합니다. - 평문을 찾거나, 암호키를 찾거나, - 암호화할수 있는 새로운 알고리즘을 발견하는 것을 목적으로 합니다. |
|
기지평문공격 (KPA) Known plain text Attack |
- 암호문 뿐만 아니라 대응되는 평문을 보유한 경우 사용합니다. - 암호문/평문쌍을 선택할 수는 없다는 것이 선택평문공격과의 차이점 입니다. - 암호키를 찾거나 암혹문을 복호화할수 있는 새로운 알고리즘을 발견하는 것을 목적으로 하는 점은 동일합니다. |
|
선택평문공격 (CPA) Chosen Plaintext Attack |
- 공격자가 평문과 암호문쌍의 유한집합을 의미합니다. - 차이점은 공격자는 자신이 원하는 평문과 암호문쌍을 가질수 있으므로, 기지평문공격과 차이점이 있습니다. - 다만, 공격이 시작된 이후에는 새로운 쌍을 얻을 수 없습니다. - 하지만, 적응적 선택평문공격(Adaptive CPA)에서는 공격을하면서 평문과 암호문 쌍 얻을 수 있습니다. |
|
선택암호문 공격 (CCA) Chosen Cipher text Attack |
- 암호문에 대응하는 평문을 얻을 수 있습니다. - 주로 공개키 알고리즘을 분석할 때 사용하며 가장 강력한 공격방법에 해당합니다. |
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
|---|---|
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
| 운영모드 정리 (0) | 2016.10.26 |
유럽 사법재판소 판결 유동IP 주소는 개인정보
1. 경위
독일 대법원으로부터 CJEU는 Preliminary Ruling으로 다음 2가지 사항에 대해 eu directive에 따라 검토요청을 받았습니다.
1) 유동 IP가 개인정보에 해당하는 지
2) 웹사이트의 보안과 운여을 위해 개인정보를 처리하는 것
그 질문의 내용은 다음과 같습니다.
1) Must Article 2(a) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1) — the Data Protection Directive — be interpreted as meaning that an Internet Protocol address (IP address) which a service provider stores when his website is accessed already constitutes personal data for the service provider if a third party (an access provider) has the additional knowledge required in order to identify the data subject?
2) Does Article 7(f) of the Data Protection Directive preclude a provision in national law under which a service provider may collect and use a user’s personal data without his consent only to the extent necessary in order to facilitate, and charge for, the specific use of the telemedium by the user concerned, and under which the purpose of ensuring the general operability of the telemedium cannot justify use of the data beyond the end of the particular use of the telemedium
ip 주소를 이용자가 접속한 기간 이외에 이보다 길게 저장하는 것이 가능하냐가 문제가 될 것입니다.
2. 판결내용
- 2016년 10월 19일 유럽사법재판소(CJEU)가 Patrick Breyer v Germany 건에서 다음과 같이 판결하였습니다.
- 유동 ip와 관련하여
EU directive 2(a)에 따라 간접적으로 개인을 식별할 수 있는 정보도 개인정보에해당하며, 이성적으로 사용할 수 있는 정보(컨트롤러 뿐만 아니라) 다른 사람에의해서도, 식별될 경우 개인정보에 해당하며
이는 곧, 모든 식별할 수 있는 정보가 한 사람에 있어야 하는 것은
아님을 의미합니다.
- 운영을 위한 처리에 관련하여
CJEU판결에 명시적으로 언급된 것은 아니나, 개별 이용자들의 개인정보 처리에 대해 법률적인 이익이 있다는 것을 의미한 것이라 볼 수 있습니다.
결론적으로, 유동 IP의 경우 설령 웹사이트 운영자가 IP주소를 통해 개인을 식별하지는 못한다고 하더라도, ISP가 IP주소와 결합하여 개인을 식별할 수 있으므로 개인정보에 해당합니다.
그 판결문은 다음과 같습니다.
출처:http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=1143961
JUDGMENT OF THE COURT (Second Chamber)
19 October 2016 (*)
(Reference for a preliminary ruling — Processing of personal data — Directive 95/46/EC — Article 2(a) — Article 7(f) — Definition of ‘personal data’ — Internet protocol addresses — Storage of data by an online media services provider — National legislation not permitting the legitimate interest pursued by the controller to be taken into account)
In Case C‑582/14,
REQUEST for a preliminary ruling under Article 267 TFEU, from the Bundesgerichtshof (Federal Court of Justice, Germany), made by decision of 28 October 2014, received at the Court on 17 December 2014, in the proceedings
Patrick Breyer
v
Bundesrepublik Deutschland,
THE COURT (Second Chamber),
composed of M. Ilešič, President of the Chamber, A. Prechal, A. Rosas (Rapporteur), C. Toader and E. Jarašiūnas, Judges,
Advocate General: M. Campos Sánchez-Bordona,
Registrar: V. Giacobbo-Peyronnel, Administrator,
having regard to the written procedure and further to the hearing on 25 February 2016,
after considering the observations submitted on behalf of:
– Mr Breyer, by M. Starostik, Rechtsanwalt,
– the German Government, by A. Lippstreu and T. Henze, acting as Agents,
– the Austrian Government, by G. Eberhard, acting as Agent,
– the Portuguese Government, by L. Inez Fernandes and C. Vieira Guerra, acting as Agents,
– the European Commission, by P.J.O. Van Nuffel and H. Krämer, and P. Costa de Oliveira and J. Vondung, acting as Agents,
after hearing the Opinion of the Advocate General at the sitting on 12 May 2016,
gives the following
Judgment
1 This request for a preliminary ruling concerns the interpretation of Article 2(a) and 7(f) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31).
2 The request has been made in proceedings between Mr Patrick Breyer and the Bundesrepublik Deutschland (Federal Republic of Germany) concerning the registration and storage by the latter of the internet protocol address (‘IP address’) allocated to Mr Breyer when he accessed several internet sites run by German Federal institutions.
Legal context
EU law
3 Recital 26 of Directive 95/46 reads as follows:
‘Whereas the principles of protection must apply to any information concerning an identified or identifiable person; whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person; whereas the principles of protection shall not apply to data rendered anonymous in such a way that the data subject is no longer identifiable; whereas codes of conduct within the meaning of Article 27 may be a useful instrument for providing guidance as to the ways in which data may be rendered anonymous and retained in a form in which identification of the data subject is no longer possible.’
4 Article 1 of that directive provides:
‘1. In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.
2. Member States shall neither restrict nor prohibit the free flow of personal data between Member States for reasons connected with the protection afforded under paragraph 1.’
5 Article 2 of the same directive provides:
‘For the purpose of this Directive:
(a) “Personal data” shall mean any information relating to an identified or identifiable natural person (“data subject”); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
(b) “processing of personal data” (“processing”) shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
…
(d) “controller” shall mean the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by national or Community laws or regulations, the controller or the specific criteria for his nomination may be designated by national or Community law;
…
(f) “third party” shall mean any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorised to process the data;
…’
6 Article 3 of Directive 95/46, entitled ‘Scope’, provides:
‘1. This Directive applies to the processing of personal data wholly or partly by automated means, and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.
2. This Directive shall not apply to the processing of personal data:
– in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in areas of criminal law,
…’
7 Article 5 of that directive reads as follows:
‘Member States shall, within the limits of the provisions of this Chapter, determine more precisely the conditions under which the processing of personal data is lawful.’
8 Article 7 of the directive is worded as follows:
‘Member States shall provide that personal data may be processed only if:
(a) the data subject has unambiguously given his consent; or
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or
(c) processing is necessary for compliance with a legal obligation to which the controller is subject; or
(d) processing is necessary in order to protect the vital interests of the data subject; or
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or in a third party to whom the data are disclosed; or
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1(1).’
9 Article 13(1) of Directive 95/46 provides:
‘Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6(1), 10, 11(1), 12 and 21 when such a restriction constitutes a necessary measures to safeguard:
…
(d) the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;
…’
German law
10 Paragraph 12 of the Telemediengesetz (Law on telemedia) of 26 February 2007 (BGBl. 2007 I, p. 179, ‘TMG’), provides:
‘(1) A service provider may collect and use personal data to make telemedia available only in so far as this law or another legislative provision expressly relating to telemedia so permits or the user has consented to it.
(2) Where personal data have been supplied in order for telemedia to be made available, a service provider may use them for other purposes only in so far as this law or another legislative provision expressly relating to telemedia so permits or the user has consented to it.
(3) Except as otherwise provided, the provisions concerning the protection of personal data which are applicable in the case in question shall apply even if the data are not processed automatically.’
11 Paragraph 15 of the TMG provides:
‘(1) A service provider may collect and use the personal data of a user only to the extent necessary in order to facilitate, and charge for, the use of telemedia (data concerning use). Data concerning use include, in particular:
1. particulars for the identification of the user,
2. information about the beginning, end and extent of the particular use, and
3. information about the telemedia used by the user.
(2) A service provider may combine the data concerning use of a user relating to the use of different telemedia to the extent that this is necessary for purposes of charging the user.
…
(4) A service provider may use data concerning use after the end of the use to the extent that they are required for purposes of charging the user (invoicing data). The service provider may block the data in order to comply with existing limits on storage periods laid down by law, statutes or contract.’
12 Under Paragraph 3(1) of the Bundesdatenschutzgesetz (Federal Data Protection Law) of 20 December 1990 (BGBl. 1990 I, p. 2954, ‘personal data are individual indications concerning the personal or factual circumstances of an identified or identifiable natural person (data subject). …’.
The dispute in the main proceedings and the questions referred for a preliminary ruling
13 Mr Breyer has accessed several websites operated by German Federal institutions. On the websites, which are accessible to the public, those institutions provide topical information.
14 With the aim of preventing attacks and making it possible to prosecute ‘pirates’, most of those websites store information on all access operations in logfiles. The information retained in the logfiles after those sites have been accessed include the name of the web page or file to which access was sought, the terms entered in the search fields, the time of access, the quantity of data transferred, an indication of whether access was successful, and the IP address of the computer from which access was sought.
15 IP addresses are series of digits assigned to networked computers to facilitate their communication over the internet. When a website is accessed, the IP address of the computer seeking access is communicated to the server on which the website consulted is stored. That connection is necessary so that the data accessed maybe transferred to the correct recipient.
16 Furthermore, it is clear from the order for the reference and the documents before the Court that internet service providers allocate to the computers of internet users either a ‘static’ IP address or a ‘dynamic’ IP address, that is to say an IP address which changes each time there is a new connection to the internet. Unlike static IP addresses, dynamic IP addresses do not enable a link to be established, through files accessible to the public, between a given computer and the physical connection to the network used by the internet service provider.
17 Mr Breyer brought an action before the German administrative courts seeking an order restraining the Federal Republic of Germany from storing, or arranging for third parties to store, after consultation of the websites accessible to the public run by the German Federal institutions’ online media services, the IP address of the applicant’s host system except in so far as its storage is unnecessary in order to restore the availability of those media in the event of a fault occurring.
18 Since Mr Breyer’s action at first instance was dismissed, he brought an appeal against that decision.
19 The court of appeal varied that decision in part. It ordered the Federal Republic of Germany to refrain from storing or arranging for third parties to store, at the end of each consultation period, the IP address of the host system from which Mr Breyer sought access, which was transmitted when he consulted publicly accessible websites of the German Federal institutions’ online media, where that address is stored together with the date of the consultation period to which it relates and where Mr Breyer has revealed his identity during that use, including in the form of an electronic address mentioning his identity, except in so far as that storage is not necessary in order to restore the dissemination of those media in the event of a fault occurring.
20 According to the court of appeal, a dynamic IP address, together with the date on which the website was accessed to which that address relates constitutes, if the user of the website concerned has revealed his identity during that consultation period, personal data, because the operator of that website is able to identify the user by linking his name to his computer’s IP address.
21 However, the court of appeal held that Mr Breyer’s action could not be upheld in other situations. If Mr Breyer does not reveal his identity during a consultation period, only the internet service provider could connect the IP address to an identified subscriber. However, in the hands of the Federal Republic of Germany, in its capacity as provider of online media services, the IP address is not personal data, even in combination with the date of the consultation period to which it relates, because the user of the websites concerned is not identifiable by that Member State.
22 Mr Breyer and the Federal Republic of Germany each brought an appeal on a point of law before the Bundesgerichtshof (Federal Court of Justice, Germany) against the decision of the appeal court. Mr Breyer sought to have his application for an injunction upheld in its entirety. The Federal Republic of Germany sought to have it dismissed.
23 The referring court states that the dynamic IP addresses of Mr Breyer’s computer stored by the Federal Republic of Germany, acting in its capacity as an online media services provider, are, at least in the context of other data stored in daily files, specific data on Mr Breyer’s factual circumstances, given that they provide information relating to his use of certain websites or certain internet files on certain dates.
24 Nevertheless, the data stored does not enable Mr Breyer to be directly identified. The operators of the websites at issue in the main proceedings can identify Mr Breyer only if the information relating to his identity is communicated to them by his internet service provider. The classification of those data as ‘personal data’ thus depends on whether Mr Breyer is identifiable.
25 The Bundesgerichtshof (Federal Court of Justice) refers to the academic disagreement relating to whether, in order to determine whether someone is identifiable, an ‘objective’ or ‘relative’ criterion must be used. The application of an ‘objective’ criterion would have the consequence that data such as the IP addresses at issue in the main proceedings may be regarded, at the end of the period of use of the websites at issue, as being personal data even if only a third party is able to determine the identity of the data subject, that third party being, in the present case, Mr Breyer’s internet service provider, which stored the additional data enabling his identification by means of those IP addresses. According to a ‘relative’ criterion, such data may be regarded as personal data in relation to an entity such as Mr Breyer’s internet service provider because they allow the user to be precisely identified (see, in that connection, judgment of 24 November 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, paragraph 51), but not being regarded as such with respect to another entity, since that operator does not have, if Mr Breyer has not disclosed his identity during the consultation of those websites, the information necessary to identify him without disproportionate effort.
26 If the dynamic IP addresses of Mr Breyer’s computer, together with the date of the relevant consultation period, were to be considered as constituting personal data, the referring court asks whether the storage of those IP addresses at the end of that consultation period is authorised by Article 7(f) of that directive.
27 In that connection, the Bundesgerichtshof (Federal Court of Justice) states, first, that under Paragraph 15(1) of the TMG, online media services providers may collect and use the personal data of a user only to the extent that that is necessary to facilitate and charge for the use of those media. Second, the referring court states that, according to the Federal Republic of Germany, storage of those data is necessary to guarantee the security and continued proper functioning of the online media services that it makes accessible to the public, in particular, enabling cyber attacks known as ‘denial-of-service’ attacks, which aim to paralyse the functioning of the sites by the targeted and coordinated saturation of certain web servers with huge numbers of requests, to be identified and combated.
28 According to the referring court, if and to the extent it is necessary for the online media services provider to take measures to combat such attacks, those measures may be regarded as necessary to ‘facilitate … the use of telemedia’ pursuant to Paragraph 15 of the TMG. However, academic opinion mostly supports the view, first, that the collection and use of personal data relating to the user of a website is authorised only in order to facilitate the specific use of that website and, second, that those data must be deleted at the end of period of consultation concerned if they are not data required for billing purposes. Such a restrictive reading of Paragraph 15(1) of the TMG would prevent the storage of IP addresses from being authorised in order to guarantee in a general manner the security and continued proper functioning of online media.
29 The referring court asks whether that interpretation, which is the interpretation advocated by the court of appeal, is in accordance with Article 7(f) of Directive 95/46, having regard, in particular with the criteria laid down by the Court in paragraph 29 et seq. of the judgment of 24 November 2011, ASNEF and FECEMD (C‑468/10 and C‑469/10, EU:C:2011:777).
30 In those circumstances the Bundesgerichtshof (Federal Court of Justice) decided to stay the proceedings before it and to refer the following questions to the Court for a preliminary ruling:
‘(1) Must Article 2(a) of Directive 95/46 … be interpreted as meaning that an internet protocol address (IP address) which an [online media] service provider stores when his website is accessed already constitutes personal data for the service provider if a third party (an access provider) has the additional knowledge required in order to identify the data subject?
(2) Does Article 7(f) of [that directive] preclude a provision in national law under which a service provider may collect and use a user’s personal data without his consent only to the extent necessary in order to facilitate, and charge for, the specific use of the telemedium by the user concerned, and under which the purpose of ensuring the general operability of the telemedium cannot justify use of the data beyond the end of the particular use of the telemedium?’
Consideration of the questions referred for a preliminary ruling
The first question
31 By its first question, the referring court asks essentially whether Article 2(a) of Directive 95/46 must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that that provider makes accessible to the public constitutes, with regard to that service provider, personal data within the meaning of that provision, where, only a third party, in the present case the internet service provider, has the additional data necessary to identify him.
32 According to that provision, ‘personal data’ ‘mean any information relating to an identified or identifiable natural person (“data subject”)’. Pursuant to that provision, an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his or her physical, physiological, mental, economic, cultural or social identity.
33 As a preliminary point, it must be noted that, in paragraph 51 of the judgment of 24 November 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), which concerned inter alia the interpretation of the same directive, the Court held essentially that the IP addresses of internet users were protected personal data because they allow users to be precisely identified.
34 However, that finding by the Court related to the situation in which the collection and identification of the IP addresses of internet users is carried out by internet service providers.
35 In the present case, the first question concerns the situation in which it is the online media services provider, namely the Federal Republic of Germany, which registers IP addresses of the users of a website that it makes accessible to the public, without having the additional data necessary in order to identify those users.
36 Furthermore, it is common ground that the IP addresses to which the national court refers are ‘dynamic’ IP addresses, that is to say provisional addresses which are assigned for each internet connection and replaced when subsequent connections are made, and not ‘static’ IP addresses, which are invariable and allow continuous identification of the device connected to the network.
37 The referring court’s first question is based therefore on the premiss, first, that data consisting in a dynamic IP address and the date and time that a website was accessed from that IP address registered by an online media services provider do not, without more, give the service provider the possibility to identify the user who consulted that website during that period of use and, second, the internet services provider has additional data which, if combined with the IP address would enable the user to be identified.
38 In that connection, it must be noted, first of all, that it is common ground that a dynamic IP address does not constitute information relating to an ‘identified natural person’, since such an address does not directly reveal the identity of the natural person who owns the computer from which a website was accessed, or that of another person who might use that computer.
39 Next, in order to determine whether, in the situation described in paragraph 37 of the present judgment, a dynamic IP address constitutes personal data within the meaning of Article 2(a) of Directive 96/45 in relation to an online media services provider, it must be ascertained whether such an IP address, registered by such a provider, may be treated as data relating to an ‘identifiable natural person’ where the additional data necessary in order to identify the user of a website that the services provider makes accessible to the public are held by that user’s internet service provider.
40 In that connection, it is clear from the wording of Article 2(a) of Directive 95/46 that an identifiable person is one who can be identified, directly or indirectly.
41 The use by the EU legislature of the word ‘indirectly’ suggests that, in order to treat information as personal data, it is not necessary that that information alone allows the data subject to be identified.
42 Furthermore, recital 26 of Directive 95/46 states that, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person.
43 In so far as that recital refers to the means likely reasonably to be used by both the controller and by ‘any other person’, its wording suggests that, for information to be treated as ‘personal data’ within the meaning of Article 2(a) of that directive, it is not required that all the information enabling the identification of the data subject must be in the hands of one person.
44 The fact that the additional data necessary to identify the user of a website are held not by the online media services provider, but by that user’s internet service provider does not appear to be such as to exclude that dynamic IP addresses registered by the online media services provider constitute personal data within the meaning of Article 2(a) of Directive 95/46.
45 However, it must be determined whether the possibility to combine a dynamic IP address with the additional data held by the internet service provider constitutes a means likely reasonably to be used to identify the data subject.
46 Thus, as the Advocate General stated essentially in point 68 of his Opinion, that would not be the case if the identification of the data subject was prohibited by law or practically impossible on account of the fact that it requires a disproportionate effort in terms of time, cost and man-power, so that the risk of identification appears in reality to be insignificant.
47 Although the referring court states in its order for reference that German law does not allow the internet service provider to transmit directly to the online media services provider the additional data necessary for the identification of the data subject, it seems however, subject to verifications to be made in that regard by the referring court that, in particular, in the event of cyber attacks legal channels exist so that the online media services provider is able to contact the competent authority, so that the latter can take the steps necessary to obtain that information from the internet service provider and to bring criminal proceedings.
48 Thus, it appears that the online media services provider has the means which may likely reasonably be used in order to identify the data subject, with the assistance of other persons, namely the competent authority and the internet service provider, on the basis of the IP addresses stored.
49 Having regard to all the foregoing considerations, the answer to the first question is that Article 2(a) of Directive 95/46 must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.
The second question
50 By its second question, the referring court asks essentially whether Article 7(f) of Directive 95/46 must be interpreted as precluding the legislation of a Member State under which an online media services provider may collect and use a user’s personal data without his consent only to the extent necessary in order to facilitate, and charge for, the specific use of those services by the user concerned, and under which the purpose of ensuring the general operability of those services cannot justify use of the data beyond the end of the particular use of them.
51 Before answering that question, it must be determined whether the processing of personal data at issue in the main proceedings, that is dynamic IP addresses of users of certain websites of the German Federal institutions, is excluded from the scope of Directive 95/46 under Article 3(2), first indent thereof, pursuant to which that directive does not apply to personal data processing operations concerning, in particular, the activities of the State in areas of criminal law.
52 In that connection, it must be recalled that the activities mentioned by way of examples by that provision are, in any event, activities of the State or of State authorities and unrelated to the fields of activity of individuals (see judgments of 6 November 2003, Lindqvist, C‑101/01, EU:C:2003:596, paragraph 43, and of 16 December 2008, Satakunnan Markkinapörssi and Satamedia, C‑73/07, EU:C:2008:727, paragraph 41).
53 In the present case, subject to verifications to be made in that regard by the referring court, it appears that the German Federal institutions, which provide the online media services and which are responsible for the processing of dynamic IP addresses act, in spite of their status as public authorities, as individuals and outside the activities of the State in the area of criminal law.
54 Therefore, it must be determined whether the legislation of a Member State, such as that at issue in the main proceedings, is compatible with Article 7(f) of Directive 95/46.
55 To that end, it is important to recall that the national legislation at issue in the main proceedings, as interpreted in the restrictive sense described by the referring court, authorises the collection and use of personal data relating to a user of those services, without his consent, only to the extent that is necessary to facilitate and charge for the specific use of online media by the user concerned, even though the objective aiming to ensure the general capacity relating to the functioning of the online media may justify the use of those data at the end of that period of use of such media.
56 Pursuant to Article 7(f) of Directive 95/46, personal data may be processed if ‘processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection under Article 1(1)’ of the Directive.
57 The Court has held that Article 7 of Directive 95/46 sets out an exhaustive and restrictive list of cases in which the processing of personal data can be regarded as being lawful and that the Member States cannot add new principles relating to the lawfulness of the processing of personal data or impose additional requirements that have the effect of amending the scope of one of the six principles provided for in that article (see, to that effect, judgment of 24 November 2011, ASNEF and FECEMD, C‑468/10 and C‑469/10, EU:C:2011:777, paragraphs 30 and 32).
58 Article 5 of Directive 95/46 authorises Member States to specify, within the limits of Chapter II of that directive and, accordingly, Article 7 thereof, the conditions under which the processing of personal data is lawful, the margin of discretion which Member States have pursuant to Article 5 can therefore be used only in accordance with the objective pursued by that directive of maintaining a balance between the free movement of personal data and the protection of private life. Under Article 5 of Directive 95/46, Member States also cannot introduce principles relating to the lawfulness of the processing of personal data other than those listed in Article 7 thereof, nor can they amend, by additional requirements, the scope of the six principles provided for in Article 7 (see, to that effect, judgment of 24 November 2011, ASNEF and FECEMD, C‑468/10 and C‑469/10, EU:C:2011:777, paragraphs 33, 34 and 36).
59 In the present case, it appears that Paragraph 15 of the TMG, if it were interpreted in the strict manner mentioned in paragraph 55 of the present judgment, has a more restrictive scope than that of the principle laid down in Article 7(f) of Directive 95/46.
60 Whereas Article 7(f) of that directive refers, in a general manner, to ‘the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed’, Paragraph 15 of the TMG authorises the service provider to collect and use personal data of a user only in so far as that is necessary in order to facilitate, and charge for, the particular use of electronic media. Therefore, Paragraph 15 of the TMG precludes the storage of personal data, after the consultation of online media, in a general manner in order to guarantee the use of those media. The German Federal institutions, which provide online media services, may also have a legitimate interest in ensuring, in addition to the specific use of their publicly accessible websites, the continued functioning of those websites.
61 Thus, as the Advocate General pointed out, in points 100 and 101 of his Opinion, such national legislation goes further than defining the notion of ‘legitimate interests’ in Article 7(f) of Directive 95/46, in accordance with Article 5 of Directive 95/46.
62 Article 7(f) of that directive precludes Member States from excluding, categorically and in general, the possibility of processing certain categories of personal data without allowing the opposing rights and interests at issue to be balanced against each other in a particular case. Thus, Member States cannot definitively prescribe, for certain categories of personal data, the result of the balancing of the opposing rights and interests, without allowing a different result by virtue of the particular circumstances of an individual case (see, to that effect, judgment of 24 November 2011, ASNEF and FECEMD, C‑468/10 and C‑469/10, EU:C:2011:777, paragraphs 47 and 48).
63 As regards the processing of personal data of the users of online media websites, legislation, such as that at issue in the main proceedings, reduces the scope of the principle laid down in Article 7(f) of Directive 95/46 by excluding the possibility to balance the objective of ensuring the general operability of the online media against the interests or fundamental rights and freedoms of those users which, in accordance with that provision, calls for protection under Article 1(1) of that directive.
64 It follows from all of the foregoing considerations that the answer to the second question is that Article 7(f) of Directive 95/46 must be interpreted as meaning that it precludes the legislation of a Member State under which an online media services provider may collect and use personal data relating to a user of those service, without his consent, only in so far as the collection and use of that information are necessary to facilitate and charge for the specific use of those services by that user, even though the objective aiming to ensure the general operability of those services may justify the use of those data after consultation of those websites.
Costs
65 Since these proceedings are, for the parties to the main proceedings, a step in the action pending before the national court, the decision on costs is a matter for that court. Costs incurred in submitting observations to the Court, other than the costs of those parties, are not recoverable.
On those grounds, the Court (Second Chamber) hereby rules:
1. Article 2(a) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.
2. Article 7(f) of Directive 95/46 must be interpreted as precluding the legislation of a Member State, pursuant to which an online media services provider may collect and use personal data relating to a user of those services, without his consent, only in so far as that the collection and use of that data are necessary to facilitate and charge for the specific use of those services by that user, even though the objective aiming to ensure the general operability of those services may justify the use of those data after a consultation period of those websites.
'IT, 저작권 이야기' 카테고리의 다른 글
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
|---|---|
| 표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0) | 2016.10.26 |
| 인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0) | 2016.10.26 |
| 개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0) | 2016.10.24 |
| KT 유출사고 (0) | 2016.10.24 |
스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원)
|
법률조항 |
조항 문구 |
주요 내용 |
위반시 조치 |
|
제30조 |
이용자의 권리 등 |
o 본인 관련하여 열람, 제공 및 오류정정 요구 가능 (➁항) 1. 이용자의 개인정보 2. 이용자의 개인정보 이용 및 제3자 제공 현황 3. 제3자 제공자에게 이용자의 개인정보 수집·이용·제공 등의 동의한 현황 |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) |
|
o 이용자가 동의 철회 요구시 지체없이 필요한 조치(➂항) | |||
|
o 이용자가 열람 또는 제공 요구시 지체없이 조치 (➃항) | |||
|
o 이용자가 오류 정정 요구시 지체없이 정정 또는 못하는 사유를 고지하는 등 필요한 조치하고, 그 경우 이용자의 개인정보 이용·제공 불가 (➄항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항) | ||
|
o 동의 철회, 열람·제공 또는 오류의 정정을 요구하는 방법은 수집방법보다 쉬워야 함 (➅항) |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) | ||
|
o 영업양수자등에 대해서도 이 조항을 준용(➆항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항) | ||
|
제30조의2 |
개인정보 이용내역의 통지 |
o 대통령령이 정하는 기준*에 해당 하는 자는 동의를 받고 수집한 이용자의 개인정보의 이용내역(제3자 제공 및 취급위탁 포함)을 주기적으로 통지 의무 (➀항) |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) |
|
o 이용자에게 통지해야 하는 정보의 종류, 통지 주기 및 방법 등은 대통령령으로 정함 (➁항) | |||
|
제31조 |
법정대리인의 권리 |
o 만14세 미만 아동의 개인정보 수집·이용·제공 등의 동의는 법정 대리인의 동의를 획득해야 하고, 그 아동에게 필요 최소한 법정대리인의 정보 요구 가능 (➀항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 과징금 (매출액 3% 이하) o 시정명령 (제64조4항) |
|
o 법정대리인의 동의 철회,열람 또는 오류 정정의요구는 제30조➂항~➄항을 준용 (➁항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 과태료 (3천만원이하) o 시정명령 (제64조4항) | ||
|
제32조 |
손해배상 |
o 이용자가 손해를 입으면 손해배상 청구 가능, 단, 고의 및 과실이 없음에 대한 책임은 정보통신사업자 제공자등이 입증 의무 |
- |
|
제63조 |
국외 이전 개인정보의 보호 |
o 망법을 위반하는 내용으로 국제계약 체결 불가(➀항) |
o 시정명령 (제64조4항) |
|
o 개인정보 국외 이전시 이용자의 동의 의무(➁항) | |||
|
o ➁항에 따른 동의시 사전 고지 사항(➂항) - 이전되는 개인정보 항목 - 이전되는 국가, 이전일시 및 이전방법 - 이전받는 자의 성명(법인은 명칭, 책임자 연락처) - 이전받는 자의 개인정보 이용목적 및 보유·이용기간 | |||
|
o 동의 받아 국외 이전시 보호조치 강구(➃항) | |||
|
제67조 |
방송사업자에 대한 준용 |
o 지상파·종합유선·위성·방송채널사용사업자·공동체라디오·중계유선·음악유선·전송망사업자전광판방송사업자는 시청자의 개인정보 수집·이용 또는 제공하는 경우 제22조부터 제32조까지 준용(➀항) |
해당 벌칙 적용 |
|
o 수탁자에 관해서는 제22조부터 24조의2와 제26조부터 제31조까지 준용 (➁항) |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
|---|---|
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
| 사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원) (0) | 2016.10.24 |
사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원)
|
법률조항 |
조항 문구 |
주요 내용 |
위반시 조치 |
|
제30조 |
이용자의 권리 등 |
o 본인 관련하여 열람, 제공 및 오류정정 요구 가능 (➁항) 1. 이용자의 개인정보 2. 이용자의 개인정보 이용 및 제3자 제공 현황 3. 제3자 제공자에게 이용자의 개인정보 수집·이용·제공 등의 동의한 현황 |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) |
|
o 이용자가 동의 철회 요구시 지체없이 필요한 조치(➂항) | |||
|
o 이용자가 열람 또는 제공 요구시 지체없이 조치 (➃항) | |||
|
o 이용자가 오류 정정 요구시 지체없이 정정 또는 못하는 사유를 고지하는 등 필요한 조치하고, 그 경우 이용자의 개인정보 이용·제공 불가 (➄항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항) | ||
|
o 동의 철회, 열람·제공 또는 오류의 정정을 요구하는 방법은 수집방법보다 쉬워야 함 (➅항) |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) | ||
|
o 영업양수자등에 대해서도 이 조항을 준용(➆항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항) | ||
|
제30조의2 |
개인정보 이용내역의 통지 |
o 대통령령이 정하는 기준*에 해당 하는 자는 동의를 받고 수집한 이용자의 개인정보의 이용내역(제3자 제공 및 취급위탁 포함)을 주기적으로 통지 의무 (➀항) |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) |
|
o 이용자에게 통지해야 하는 정보의 종류, 통지 주기 및 방법 등은 대통령령으로 정함 (➁항) | |||
|
제31조 |
법정대리인의 권리 |
o 만14세 미만 아동의 개인정보 수집·이용·제공 등의 동의는 법정 대리인의 동의를 획득해야 하고, 그 아동에게 필요 최소한 법정대리인의 정보 요구 가능 (➀항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 과징금 (매출액 3% 이하) o 시정명령 (제64조4항) |
|
o 법정대리인의 동의 철회,열람 또는 오류 정정의요구는 제30조➂항~➄항을 준용 (➁항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 과태료 (3천만원이하) o 시정명령 (제64조4항) | ||
|
제32조 |
손해배상 |
o 이용자가 손해를 입으면 손해배상 청구 가능, 단, 고의 및 과실이 없음에 대한 책임은 정보통신사업자 제공자등이 입증 의무 |
- |
|
제63조 |
국외 이전 개인정보의 보호 |
o 망법을 위반하는 내용으로 국제계약 체결 불가(➀항) |
o 시정명령 (제64조4항) |
|
o 개인정보 국외 이전시 이용자의 동의 의무(➁항) | |||
|
o ➁항에 따른 동의시 사전 고지 사항(➂항) - 이전되는 개인정보 항목 - 이전되는 국가, 이전일시 및 이전방법 - 이전받는 자의 성명(법인은 명칭, 책임자 연락처) - 이전받는 자의 개인정보 이용목적 및 보유·이용기간 | |||
|
o 동의 받아 국외 이전시 보호조치 강구(➃항) | |||
|
제67조 |
방송사업자에 대한 준용 |
o 지상파·종합유선·위성·방송채널사용사업자·공동체라디오·중계유선·음악유선·전송망사업자전광판방송사업자는 시청자의 개인정보 수집·이용 또는 제공하는 경우 제22조부터 제32조까지 준용(➀항) |
해당 벌칙 적용 |
|
o 수탁자에 관해서는 제22조부터 24조의2와 제26조부터 제31조까지 준용 (➁항) |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
|---|---|
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
| 스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0) | 2016.10.24 |
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
|
|
|
[ 정보통신서비스 제공자등을 위한 ] 개인정보 유출 대응 매뉴얼 |
|
|
2016. 8. 31.
|
|
|
|
◇ 개인정보 유출 대응 매뉴얼은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조제1항제1호(개인정보를 안전하게 처리하기 위한 내부관리계획의 수립‧시행), 같은 법 시행령 제15조제1항, 개인정보의 기술적‧관리적 보호조치 기준(방통위 고시) 제3조제6호(개인정보의 분실‧도난‧누출‧변조‧훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항)를 기반으로 정보통신서비스 제공자등이 자사의 개인정보가 유출된 사실을 알게 된 후 준수해야 할 조치사항을 안내하고 있습니다.
◇ 정보통신서비스 제공자등은 매뉴얼을 참고하여 자사의 상황에 맞게 「개인정보 유출 대응 매뉴얼」을 마련하고, 내부관리계획에 매뉴얼을 포함하여 보호조치 이행을 위한 세부적인 추진방안을 수립‧시행하여야 합니다.
◇ 이 매뉴얼은 유출사고 발생 직후 정보통신서비스 제공자등이 신속한 조치를 통해 개인정보의 추가 유출을 막고, 유출로 인한 이용자 피해를 최소화하기 위한 필수조치를 설명하고 있습니다.
◇ 따라서, 정보통신서비스 제공자등은 평상 시에 개인정보 보호조치 및 웹 취약점 점검 등을 통해 개인정보가 안전하게 보호될 수 있도록 자사의 환경에 맞는 보호조치 수준을 설정하고 유지하여야 합니다.
◇ 추가적으로 개인정보 보호와 관련한 규정에 대하여는 「정보통신서비스 제공자를 위한 개인정보보호 법령 해설서」, 「개인정보의 기술적‧관리적 보호조치 기준 해설서」등을 참조해 주시기 바랍니다.
☞ 자료 : 개인정보보호 포털(www.i-privacy.kr) / 자료실 / 안내서 및 해설서 |
|
|
|
| |||||||||
|
|
| ||||||||||
|
Ⅰ. 개인정보 유출 신속대응체계 구축 1 1. 개인정보 유출사실 CEO 보고 1 2. 개인정보 유출 신속대응팀 구성‧운영 2
Ⅱ. 유출 원인 파악 및 추가 유출 방지조치 3 1. 해킹의 경우 3 2. 내부자 유출의 경우 4 3. 이메일 오발송의 경우 4 4. 개인정보 노출의 경우 4 Ⅲ. 개인정보 유출 신고 및 통지 5 1. 침해사고 신고 5 2. 개인정보 유출 신고 7 3. 개인정보 유출 통지 9 Ⅳ. 이용자 피해구제 및 재발방지 대책 마련 13 1. 개인정보 유출 사고 전파 13 2. 이용자 피해구제 관련 민원 대응 강화 13 3. 원인분석 및 재발방지 대책 마련 15
[참고1] 해킹에 의한 개인정보 유출 시 조치사항 17
[참고2] 개인정보 유출 신고서 양식 19
[참고3] 개인정보 유출에 따른 2차피해 유형 및 대응요령 20 | |||||||||||
|
|
< 개인정보 유출 대응 절차(요약) > |
|
|
|
| |
|
| ||
|
Ⅰ. 개인정보 유출 신속대응체계 구축 |
|
◇ 개인정보 유출 사실을 알게 된 경우, 개인정보보호책임자는 즉시 CEO에게 보고하고 개인정보보호‧정보호호 부서를 중심으로 「개인정보 유출 신속대응팀」을 구성하여, 추가 유출 및 이용자 피해발생 방지를 위한 조치를 강구하여야 함 |
개인정보 유출사실 CEO 보고
|
|
o (전직원) 개인정보 유출사실을 발견하거나 의심스러운 정황을 알게된 경우에는 즉시 개인정보보호 담당자에게 전화, 이메일 등으로 신고
o (개인정보보호 담당자) 신고를 받은 후 즉시 유출사실을 확인할 수 있는 부서에 유출사실, 규모, 경로 등 확인을 요청하고, 개인정보보호 책임자에게 전화, 이메일 등으로 신속하게 유출사실과 대응상황을 보고
o (개인정보보호 책임자) 현재까지 파악된 상황을 CEO에게 신속하게 보고하고 새로운 상황이 발생될 때마다 수시로 보고해야 하며, 개인정보 유출이 확인되면 즉시 「개인정보 유출 신속대응팀」을 소집하여야 함
o (CEO) 전체 대응방향을 결정하고 「개인정보 유출 신속대응팀」을 중심으로 유관부서가 유기적으로 대응하여 추가 피해가 발생하지 않도록 지휘
2. 「개인정보 유출 신속대응팀」 구성‧운영
o (구성) 내․외부 개인정보 유출 사고 발생 시 사고의 분석, 처리, 사후 복구 및 예방 조치 등을 위해 「개인정보 유출 신속대응팀」을 운영
|
정보통신 서비스제공자 등 | ||||
|
|
|
|
|
|
|
개인정보 유출 신속대응팀 |
|
개인정보보호 책임자 |
|
· 개인정보 유출 대응 총괄 지휘 · 개인정보 유출대응 신속대응팀 구성·운영 |
|
|
|
|
| |
|
|
개인정보보호 담당자 |
|
· 유관기관에 개인정보 유출 신고 · 이용자에게 개인정보 유출 통지 | |
|
|
|
|
| |
|
|
정보보호 담당자 |
|
· 유관기관에 침해사고 신고 · 사고경위 분석, 시스템 복구 등 침해대응 | |
|
|
|
|
| |
|
|
고객지원 부서 |
|
· 정부, 언론사, 이용자 민원 대응 · 이용자 피해구제 및 분쟁조정 기구 안내 | |
|
|
|
|
|
|
|
전직원 |
|
· 개인정보 유출 확인 시 부서장 또는 개인정보보호 부서에 신고 · 침해사고 발생 확인 시 부서장 또는 정보보호 부서에 신고 · 개인정보 유출 신속대응팀 요청에 따른 유출대응 지원 | ||
o (역할) ‘개인정보보호책임자’를 중심으로 사업자 내부 조직 및 인력을 효율적으로 재구성하여 유출원인 분석 및 대응, 유출신고‧통지, 이용자 피해구제 등 고객지원 등으로 세분화하여 신속히 대응
- 개인정보 유출 관련 사항에 대하여는 CEO에게 보고하여야 함
※ 정보통신망법 제27조제4항 : 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 정보통신서비스 제공자등의 사업주 또는 대표자에게 개선조치를 보고하여야 한다.(’16.9.23.시행)
|
Ⅱ. 유출 원인 파악 및 추가 유출 방지 조치 |
|
◇ 개인정보 유출원인을 파악한 후 추가 유출 방지를 위해 유출 원인 별 보호조치 실시 |
1. 해킹의 경우
o (긴급 조치) 해킹 등 침해사고 발생으로 인해 개인정보가 유출된 사실을 알게 된 경우에는 개인정보 추가 유출 방지를 위한 대책을 마련하고 피해를 최소화할 수 있는 조치를 강구하여야 함
- 추가 유출 방지를 위해 시스템 일시정지, 이용자 및 개인정보취급자 비밀번호 변경*, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등과 같은 긴급조치를 시행하여야 함
* 일방향 암호화되지 않은 비밀번호가 유출된 경우에는 비밀번호를 변경하지 않으면 이용할 수 없도록 하고, 일방향 암호화된 비밀번호가 유출된 경우에도 비밀번호 변경을 유도하여 추가 피해 예방에 노력하여야 함
- 개인정보 유출의 직접‧간접적인 원인을 즉시 제거하고, 미비한 보호조치 부분을 파악하여 보완하여야 함
o (필요시 기술지원 요청) 기술력 등의 한계로 자체 긴급조치가 어려운 경우 한국인터넷진흥원에 기술지원을 요청할 수 있음
|
기술지원 내용 |
|
|
☞ 참고1 : 해킹에 의한 개인정보 유출 시 조치사항
2. 내부자 유출의 경우
o 개인정보 유출자가 개인정보처리시스템에 접속한 이력 및 개인정보 열람‧다운로드 등 내역을 확인하여야 함
o 개인정보 유출자의 개인정보처리시스템에 대한 접근형태가 정상인지 비정상인지 여부를 확인하고, 비정상적인 접속인 경우 우회경로를 확인하여 접속을 차단하여야 함
o 개인정보취급자의 개인정보처리시스템 접속계정, 접속권한, 접속기록 등을 검토하여 추가적인 유출 여부를 확인하여야 함
o 개인정보 유출에 활용된 단말기(PC, 스마트폰 등)와 매체(USB, 이메일, 출력물 등)를 회수하고, 수사기관과 협조하여 유출된 개인정보를 회수하기 위한 모든 방법을 강구하여야 함
3. 이메일 오발송의 경우
o 이메일 회수가 가능한 경우에는 즉시 회수 조치하고, 불가능한 경우에는 이메일 수신자에게 오발송 메일의 삭제를 요청하여야 함
o 메일서버 외 첨부파일서버(대용량 메일 등)를 이용하는 경우 첨부파일서버 운영자에게 관련 파일의 삭제를 요청하여야 함
4. 개인정보가 외부에 노출된 경우
o (외부 검색엔진을 통한 노출의 경우) 노출된 사업자의 웹페이지 삭제를 검토하고, 검색엔진에 노출된 개인정보 삭제를 요청하여야 하며, 필요시 로봇배제 규칙을 적용하여 외부 검색엔진의 접근을 차단하여야 함
o (관리자 페이지에 접속하여 노출된 경우) 관리자의 접속 IP를 제한하고, 소스코드를 수정하여 사용자 인증 절차를 추가하여야 함
o (개인정보취급자 부주의로 인한 노출의 경우) 게시글 및 첨부파일 내 개인정보 노출 부분을 마스킹(* 처리)하여 다시 게시하여야 함
|
Ⅲ. 개인정보 유출 신고 및 통지 |
|
◇ (신고) 개인정보 유출사실을 알게 된 경우 즉시(24시간 이내) 해커 등 유출자 검거를 위해 경찰청 사이버안전국에 수사 요청하고, 미래창조과학부‧한국인터넷진흥원에 침해사고 신고 및 방송통신위원회‧한국인터넷진흥원에 개인정보 유출 신고
◇ (통지) 유출된 개인정보로 추가 피해가 발생하지 않도록 개인정보 유출을 알게 된 후 즉시(24시간 이내) 해당 이용자에게 개인정보 유출사실을 통지 |
1. 침해사고 신고
<침해사고 대응 체계>
|
|
가. 경찰청(사이버 안전국)에 수사 요청
o 개인정보 유출로 인한 피해를 막기 위해서는 해커 등 개인정보 유출자 검거 및 개인정보 회수를 위한 조치가 선행되어야 함
o 따라서, 개인정보 유출사실을 알게 된 경우에는 즉시 경찰청 사이버 안전국에 범인 검거를 위한 수사를 요청하고 유출된 개인정보 회수를 위한 조치 실시
※ 사이버범죄 신고 : 경찰청 사이버안전국 / 사이버범죄신고‧상담 / 사이버범죄신고하기
|
|
나. 미래창조과학부‧한국인터넷진흥원(보호나라)에 침해사고 신고
o 인터넷 상 침해사고가 발생하면 즉시 미래창조과학부 또는 한국인터넷진흥원에 신고하여 침해사고 원인분석 및 취약점 보완조치 등을 실시하여야 함
※ 침해사고 신고 : KISA 보호나라 / 상담 및 신고 / 해킹 사고, ☏ 국번없이 118
|
|
2. 개인정보 유출 신고
o (신고 시점) 개인정보의 유출사실*을 알게 된 경우 즉시(24시간 이내) 개인정보 유출사실을 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 함
* 개인정보보호법(1만건 이상)과는 달리 개인정보 유출 규모와 관계없이 신고하여야 함
- 구체적인 내용이 확인되지 않은 경우에는 그 때까지 확인된 내용을 중심으로 우선 신고하고, 추가로 확인되는 내용은 확인되는 즉시 신고
※ 구체적 사실관계 파악을 이유로 신고를 지연하는 경우에는 3천만원 이하의 과태료가 부과될 수 있음
o (신고 항목) 개인정보 유출 신고를 할 때에는 ① 유출된 개인정보 항목, ② 유출이 발생한 시점, ③ 이용자가 취할 수 있는 조치, ④ 정보통신서비스 제공자등의 대응조치, ⑤ 이용자가 상담 등을 접수할 수 있는 부서 및 연락처를 명시하여야 함
|
신고 항목 |
유의사항 |
|
① 유출된 개인정보 항목 |
․유출된 개인정보 항목을 모두 기재해야 하며, ‘등’과 같이 일부 생략하거나 휴대전화번호와 집 전화번호를 ‘전화번호’로 기재하여서는 안됨
․유출된 개인정보의 모든 항목을 적어야 하며, 유출 규모도 현 시점에서 파악된 내용을 모두 작성 |
|
② 유출이 발생한 시점 |
․유출시점, 인지시점을 명확히 구분하여 날짜 및 시간 모두 작성해야 하며, 유출경위와 인지경위를 작성해야 함 |
|
③ 이용자가 취할 수 있는 조치 |
․개인정보 유출로 발생 가능한 스팸 문자, 보이스피싱, 금융사기와 같은 2차적인 피해 방지를 위해 이용자가 할 수 있는 조치를 기재(예: 비밀번호 변경 등) |
|
④ 정보통신서비스 제공자등의 대응조치 |
․유출사실을 안 후 긴급히 조치한 내용과 향후 이용자의 피해구제를 위한 계획 및 절차를 기재
ex) 경찰에 신고, 일시적 홈페이지 로그인 차단(홈페이지 해킹일 경우) 등 |
|
⑤ 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 |
․실제 신고 접수 및 상담이 가능한 전담 처리부서와 해당 담당자 연락처를 기재 |
|
⑥ 기타 |
․유출된 기관명, 사업자번호, 사업자 주소, 웹사이트 주소 기재 |
o (신고 방법) 방송통신위원회와 한국인터넷진흥원이 운영 중인 “개인정보보호 포털”(www.i-privacy.kr)*을 통해 해당 시점까지 확인된 내용을 중심으로 신고
- 전화, 팩스, 이메일, 우편 등의 방법을 이용하는 경우에는 정확한 신고 접수 여부를 반드시 확인하여야 함(신속한 신고-접수를 위해 “개인정보보호 포털” 활용)
* 유출 신고 : 개인정보보호 포털 / 개인정보 신고 / 개인정보 누출 신고 / 사업자
|
|
<개인정보 유출 및 침해사고 신고 경로>
|
구 분 |
전화번호 |
팩스번호 |
전자우편주소 |
인터넷 사이트 | |
|
한국인터넷 진흥원 |
개인정보 유출 |
118 |
02-405-5229 |
118@kisa.or.kr |
www.i-privacy.kr |
|
침해사고 |
www.krcert.or.kr | ||||
☞ 참고2 : 개인정보 유출 신고서 양식
3. 개인정보 유출 통지
o (통지 시점) 개인정보 유출시 침해사실을 인지한 시점으로부터 즉시(24시간 이내) 개인정보 유출사실을 이용자에게 통지하여야 함
- 온라인의 경우 유출된 개인정보의 확산 속도가 빨라 피해가 가중될 수 있으므로 먼저 파악한 유출사실을 신속하게 통지하여 추가 피해를 방지하는 것이 중요함
- 구체적인 내용이 확인되지 않은 경우에는 그 때까지 확인된 내용을 중심으로 우선 개별 통지하고, 추가로 확인되는 내용에 대해서는 확인되는 즉시 개별 또는 홈페이지를 통해 신속히 통지하여야 함
※ 구체적 사실관계 파악을 이유로 이용자 통지를 지연하는 경우에는 3천만원 이하의 과태료가 부과될 수 있음
- 유출된 개인정보가 대규모여서 24시간 이내에 전체 통지가 기술적으로 불가능한 경우에는 우선적으로 홈페이지 팝업창 등을 통해 방문하는 이용자가 모두 알 수 있도록 현재까지 파악된 유출사실을 게시한 후 개별 통지를 병행하여야 함
※ 개인정보가 유출된 이용자가 유출사실을 신속히 인지한 후 대비할 수 있도록 가능한 모든 방법을 병행하여야 함
|
☞ 잘못된 대응사례①
o OO사는 이상 징후를 인지하고 5일 후, 개인정보 유출사실을 확인하고 2일 후부터 유출 통지를 실시함
o 침해사고로 추정되는 이상 징후를 알게 된 경우에는 즉시 미래창조과학부‧한국인터넷진흥원에 침해신고를 하여야 하고, 개인정보가 유출된 사실을 알게 된 경우에는 24시간 이내에 해당 이용자에게 유출 통지를 이행하여야 함
☞ 잘못된 대응사례② o OO사는 해커에 의해 개인정보가 유출된 사실을 확인한 후 경찰청에 신고하였으나, 수사관으로부터 해커가 검거될 때까지는 유출 통지를 유보해 달라는 구두 요청을 받고 30일 이상 통지를 지연
o 해커 검거를 통해 유출된 개인정보를 회수하기 위해 반드시 필요한 경우로서 경찰청으로부터 공식 문서로 반드시 필요한 최소한의 기간 동안 유출통지 보류를 요청받은 경우에는 방송통신위원회에 유출 신고 후 협의하여야 하고 사유를 소명하여야 함 |
o (통지 대상) 개인정보가 유출된 사실을 알게 된 경우에는 유출된 이용자 수, 유출된 개인정보의 유형에 관계없이 유출 통지 절차를 운영하여야 함
|
☞ 잘못된 대응사례①
o OO사는 개인정보 유출을 알게 된 후 유출된 이용자를 대상으로 유출통지를 실시하였으나, ‘아이디’, ‘아이디+일방향 암호화된 비밀번호’만 유출된 이용자에 대하여는 별도의 통지절차를 이행하지 않음
o 유출된 개인정보의 유형이 ‘아이디+비밀번호’만이더라도 별도 분리 보관되어 있는 연락처 정보 등을 활용하여 유출 통지를 진행해야 하고, 연락처가 없는 경우에는 홈페이지를 통해 30일 이상 게시하여야 함
☞ 잘못된 대응사례② o OO사는 개인정보취급자가 업무상 e-메일을 보내면서 붙임 파일로 이용자 10여명의 인적사항이 담긴 파일을 다른 사람에게 잘못 보냈으나, 해당 파일에 담긴 이용자에게 별도의 유출 통지절차를 이행하지 않음
o 정보통신망법 제27조의3의 규정은 유출된 경우이면 그 수량과 관계없이 통지‧신고하여야 함 |
o (통지 방법) 통지를 할 때에는 이용자가 실제로 확인 가능하도록 이용빈도가 높은 방법*을 우선 활용하여 통지하는 것이 바람직함
※ (예) 휴대전화번호를 보유하고 있는 경우에는 전화통화 및 문자를 통해 우선 통지하고, 곤란한 경우에는 이메일, 팩스, 우편 등의 방법을 활용
- 이용자의 연락처를 알 수 없는 등 정당한 사유가 있어 통지가 불가능한 경우에는 자신의 인터넷 홈페이지에 30일 이상 게시하여 접속하는 이용자가 알 수 있도록 유지하여야 함
※ 홈페이지에 게시할 때에는 ‘사과문’, ‘개인정보 유출 안내’ 등의 제목을 사용하되, 법정 통지사항이 모두 포함되어야 함
- 천재지변이나 그 밖에 정당한 사유로 홈페이지 게시조차 곤란한 경우에는 「신문 등의 진흥에 관한 법률」에 따른 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고하여야 함
<홈페이지 개인정보 유출 통지문(예시)>
|
|
|
|
o (유출 확인절차 마련) 홈페이지 등을 통해 개인정보 유출사실을 확인할 수 있는 절차를 마련하여 운영하는 것이 바람직함
- 홈페이지 구성 시에는 확인 과정에서 추가적인 개인정보 유출이 발생하지 않도록 웹 취약점을 제거한 후 운영하고, 전송구간 암호화(보안서버 구축 등)를 이행하는 등의 조치를 하여야 함
- 본인확인을 명목으로 주민등록번호를 입력하도록 유도하는 것은 인터넷 상 주민번호 사용 제한에 반할 수 있음을 유의해야 함
|
☞ 잘못된 대응사례
o OO사는 개인정보 유출을 알게 된 후 자사 홈페이지를 통해 이용자가 자신의 개인정보가 유출되었는지 여부를 확인하는 페이지를 운영하였으나,
- 본인확인을 위해 이름과 주민등록번호를 입력하도록 하고, 전송구간 암호화 조치를 취하지 않음
o 본인확인을 위해 유출된 정보를 입력하도록 하는 것과 개인정보와 인증정보 전송구간 암호화 조치를 하지 않은 경우 추가적인 개인정보 유출의 위험이 발생할 수 있으므로,
- 유출 확인 페이지를 운영할 때에는 주민등록번호를 활용하지 않도록 하고, 전송구간 암호화 조치(보안서버 구축 등)를 반드시 이행하여야 함 |
|
Ⅳ. 이용자 피해구제 및 재발방지 대책 마련 |
|
◇ 이용자 피해구제 방법을 안내하고, 유사 사고의 재발방지를 위해 대책 마련 |
1. 개인정보 유출 사고 전파
o 개인정보 침해 발생을 인지한 경우 임직원 및 이해관계가 있는 사업자에게 개인정보 유출 상황을 전파하여 유사 피해가 발생할 수 있음을 전파하여야 함
o 전파 시에는 한국인터넷진흥원과 협의를 통해 기 구축되어 있는 사업자 핫라인을 활용
2. 이용자 피해구제 관련 민원 대응 강화
o 이용자 개인정보 유출 문의에 신속히 대응할 수 있도록 스크립트와 유출통지문을 작성하고 필요시 이용자 상담 회선을 증설
o 전화, 이메일, 홈페이지, SNS 등 다양한 채널을 통해 이용자의 개인정보 유출사실, 유출경위를 확인할 수 있는 창구를 마련
o 이용자에게 피해 발생에 따른 구제절차를 안내하고, 이용자의 요청이 있는 경우에는 별도의 “개인정보 유출 확인서” 발급 절차를 운영
- (개인정보 분쟁조정위원회) 개인정보보호위원회에 설치되어 있는 개인정보 분쟁조정위원회를 통해 개인정보 유출에 따른 분쟁조정 절차가 있음을 안내
☞ 홈페이지(www.kopico.go.kr) 및 분쟁조정위원회에 우편(03171 서울특별시 종로구 세종대로 209 정부서울청사 4층 개인정보 분쟁조정 위원회) 또는 FAX(02-2100-2485) 이용
- (손해배상제도 안내) 법정손해배상제도, 징벌적 손해배상제도 등 민사소송을 통해 피해구제 절차를 진행할 수 있음을 안내
☞ 참고3 : 개인정보 유출에 따른 2차 피해 유형 및 대응요령 안내
o 이용자에게 개인정보 유출로 인해 보이스피싱, 파밍 등 추가 피해가 발생할 수 있으므로 피해 방지를 위한 유의사항을 안내
- 금융감독원과 경찰청에서 합동으로 운영 중인 보이스피싱 지킴이 홈페이지의 대처요령, 을 참조하여 안내
|
|
|
|
|
3. 유출 원인분석 및 재발방지 대책 마련
o 개인정보 유출 원인에 맞는 대책을 마련하고, 유사 사고 재발 방지를 위해 개인정보보호 교육을 실시하여야 함
o 개인정보 유출사고 시나리오 작성 및 모의훈련을 실시하여 개인정보 유출 대응체계를 점검
o 홈페이지의 취약점을 연 1회 이상 정기적으로 점검하여야 하며, 중소기업의 경우에는 한국인터넷진흥원에서 제공하는 웹 취약점 점검 서비스를 이용할 수 있음
※ 웹취약점 점검 신청 페이지 : KISA 보호나라 → 보안서비스 → 웹취약점 점검
|
|
o 유출사고 취약점을 반영하여 전사적으로 개인정보 취급자 대상 개인정보보호 및 정보보호 인식 제고 교육을 실시
※ 개인정보 교육 페이지 : KISA 개인정보보호 포털 / 개인정보보호교육 / 온라인 교육 / 사업자 대상
|
|
o 개인정보가 인터넷 상에 노출되는 것을 방지하기 위해 검색엔진의 로봇배제 규칙을 적용하여 홈페이지 접근을 제한하고,
- 홈페이지에 첨부파일을 포함한 게시글 작성시 개인정보 포함여부를 확인하여야 하며,
- 이용자에게 게시글 작성시 개인정보가 노출되지 않도록 주의할 것을 안내하고,
- 관리자 페이지에 접근하는 IP제한 또는 VPN 등 안전한 접속수단을 사용하여야 함
|
참고 1 |
|
해킹에 의한 개인정보 유출 시 조치사항 |
□ 해커가 삽입한 악성코드 확인 및 삭제
o 한국인터넷진흥원에서 배포중인 ‘휘슬’을 활용하여 웹서버에 삽입된 악성코드와 웹쉘 파일을 찾아서 삭제
※ 악성코드 탐지도구 제공 페이지 : KISA 보호나라 → 다운로드 → 휘슬 / 캐슬
|
|
□ 침해 발생 시스템의 계정, 로그 등을 점검하여 침해 현황 확인
|
점검 항목 |
점검 내용 |
비고 |
|
계정 |
· 사용하지 않는 계정 및 숨겨진 계정 확인 - 윈도우 : [관리도구]→[컴퓨터 관리]→ [로컬사용자 및 그룹]→[사용자] 정보 확인 - 리눅스 : /etc/passwd 확인 |
‧ $ 문자가 포함된 계정 확인 ‧ 패스워드 미설정 계정 확인 ‧ /bin/bash 설정 계정 확인 |
|
로그파일 |
· 이벤트 로그 및 시스템 로그 변조 유무 확인 - 윈도우 : [관리도구]→[컴퓨터 관리]→ [이벤트뷰어] 확인 - 리눅스 : /var/log/secure, message 등 확인 · 윈도우 웹로그 경로 및 변조 유무 확인 - [관리도구]→[인터넷정보서비스(IIS)관리]에서 · 리눅스 웹로그 경로 확인 - /usr/local/apache/logs 확인 |
‧ 웹로그 생성/수정 시간 확인
|
|
웹쉘 |
· 확장자별 웹쉘 패턴 점검 - asp, aspx, asa, cer, cdx, php, jsp, html, htm, jpg, jpeg, gif, bmp, png |
‧ 휘슬 사용 |
|
백도어 |
· 네트워크 상태 확인 - nmap -sV 침해사고시스템IP · 비정상 포트 및 외부연결 확인 - 윈도우 : netstat, TCPView 등 사용 - 리눅스 : netstat -nlp, lsof -i |
‧ 6666, 6667 등 의심 Port 확인 ‧ 의심 Port를 사용하는 프로세스 확인 |
|
루트킷 |
· 숨겨진 프로세스 및 비정상 프로세스 확인 · 변조된 파일 및 시스템 명령어 확인 - Windows : IceSword, GMER 등 사용 - Linux : Rootkit Hunter, Check Rootkit 등 사용 |
‧ Rootkit Hunter 업데이트 필수 |
□ 로그분석 결과에 따른 접속경로 차단 등
o 로그 분석 결과 침입자 접속경로가 확인된 경우 접속경로를 차단하고 경유한 시스템은 추가적인 분석
|
구분 |
접속 경로 차단 방법 |
비고 |
|
서버 |
· 윈도우 [제어판]→[Windows 방화벽]→[일반]방화벽 사용→[예외]→원격데스크톱→편집→범위변경→사용자 지정 목록 설정(허용할IP) |
특정 IP에 원격데스크톱 서비스를 허용하고 나머지 IP접속은 차단 |
|
· 리눅스 iptables -A INPUT -p TCP --dport 22 -s 허용할IP –j ACCEPT iptables -A INPUT -p TCP --dport 22 -s –j DROP |
특정 IP에 ssh 서비스를 허용하고 나머지 IP접속은 차단 | |
|
네트 워크 |
· 방화벽/라우터/스위치 access-list 101 permit tcp 허용할IP host 접근서버IP eq 22 interface ethernet 0 ip access-group 101 in |
특정 IP에 ssh 서비스 허용정책을 ethernet 0 인터페이스에 인바운드 정책 적용 |
□ 기타 조치사항
o 서버, PC 등 정보처리시스템의 백신을 최신으로 업데이트하고 전체 디렉토리를 점검
o 직원 PC의 운영체제, 오피스 프로그램의 보안 업데이트를 실시
o 가능한 경우 침해사고 원인을 식별하고 재발방지를 위해 개인정보 유출 시스템의 휘발성 및 비활성 정보 수집
- 기술적인 사항은 한국인터넷진흥원이 배포하는 「침해사고 분석절차 안내서」 참조
※ 제공 페이지 : 한국인터넷진흥원 / 자료실 / 관련법령·기술안내서 / 기술안내 가이드 / 침해사고 분석절차 안내서
o 수사시관과 협조하여 유출된 개인정보를 회수하기 위한 조치를 강구
|
참고 2 |
|
개인정보 유출 신고서 양식 |
☞ 내려받기 : 개인정보보호 포털(www.i-privacy.kr/개인정보유출신고/신고안내/서면신고)
|
사업자 개인정보 유출 신고서
(필수)가 표시되어있는 항목을 꼭 기재 부탁드리며, 부족한 내용이 있을 경우 연락이 갈 수 있습니다. | |||||||||||
|
기관명(필수) |
|
사업자번호(필수) |
| ||||||||
|
사업자주소 (사업자등록기준) |
|
웹 사이트 주소 |
| ||||||||
|
누출된 개인정보의 항목 및 규모(필수) |
| ||||||||||
|
누출이 발생된 시점, 누출 인지 시점 및 경위(필수) |
| ||||||||||
|
이용자가 취할 수 있는 조치(필수) |
| ||||||||||
|
정보통신서비스 제공자등의 대응조치(필수) |
| ||||||||||
|
이용자가 상담 담당부서ㆍ담당자 및 연락처(필수) |
|
성명 |
연락처 |
이메일 | |||||||
|
개인정보 보호책임자 |
|
|
| ||||||||
|
개인정보 보호담당자 |
|
| |||||||||
|
※ 하단은 접수기관에서 기재하는 부분이므로 신고자는 기재하실 필요가 없습니다. | |||||||||||
|
신고접수기관 |
기관명(지역) |
접수자명 |
연락처 |
이메일 |
접수일자 | ||||||
|
|
|
|
|
| |||||||
|
참고 3 |
|
개인정보 유출에 따른 2차 피해 유형 및 대응요령 |
|
|
피해종류 |
활용된 개인정보 주요항목 |
개인정보 악용 절차 |
이용자 대응요령 |
|
금전적 |
온라인 사기쇼핑 |
주민등록번호, 카드번호, 유효기간 등 |
① 카드번호, 유효기간으로 온라인 결제가 가능한 국내외 홈쇼핑 사이트에 접속 ② 홈쇼핑 홈페이지, ARS를 통한 온라인 사기 결제‧주문 |
• 신용카드 정지 및 재발급 신청 ※ 신고기관 : 각 카드사, 한국소비자원 소비자 상담센터(☏1372) 등 |
|
명의도용을 통한 통신서비스 가입 |
이름, 주소, 주민등록번호 등 |
① 유출된 개인정보를 이용하여 휴대전화, 인터넷전화 등 가입 ※ 통신서비스 가입 시 본인확인절차가 있으므로 주민등록증 위조 등 추가적인 불법 행위 수반이 예상됨 ② 불법 가입한 전화번호로 스팸을 발송하여 금전적 이익을 취득함 ※ 명의를 도용당한 사람은 서비스 이용제한을 당하거나 명의도용 소명절차를 밟는 등 피해를 당함 |
• 한국정보통신진흥협회(KAIT)의 명의도용방지서비스(M-Safer)를 통한 불법 통신서비스 신규가입 여부 확인 ※ 신고기관 : 통신민원조정센터(msafer.or.kr) ※ 명의도용방지서비스(M-Safer) : 통신서비스 신규가입시 이메일‧문자로 가입여부 통보 | |
|
명의도용을 통한 신용카드 복제 |
이름, 신용카드 번호, 유효기간 등 |
① 유출된 개인정보를 이용하여 신용카드 불법 복제 ※ 특수장비를 이용하여 카드번호, 유효기간, 이름 등으로 복제 가능 ② 불법 복제된 카드를 국내외에서 활용하여 상품 결제 등에 악용 ※ 국내외 POS단말기의 경우 마그네틱 부분만을 이용하여 결제 가능 |
• 신용카드 정지 및 재발급 신청, 이용내역 통지 서비스 가입 ※ 신고기관 : 각 카드사, 경찰, 금융감독원(☏1332) | |
|
스미싱 |
휴대전화번호 |
① ‘정보유출 확인 안내' 등 금융기관을 사칭하는 문자메시지에 악성코드(인터넷주소)를 삽입하여 발송 ② 금융기관 사칭 메시지를 받은 피해자가 인터넷주소(URL)를 클릭하면 악성코드에 감염되어 소액결제 피해 및 개인‧금융정보 탈취 |
• 수상한 문자메시지 삭제 및 메시지 상 링크 클릭하지 않기 또는 카드사 공지 전화번호 확인 ※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118) | |
|
비금전적 |
보이스피싱 |
신용카드번호, 휴대전화, 집전화번호, 집주소 등 |
① 경찰, 금융감독당국 또는 금융회사 직원을 사칭하여 전화 ② 금융관련 업무 목적 사칭을 통한 개인정보‧금융정보 탈취(비밀번호, 보안카드번호 등) ③ 유출된 금융사를 사칭, 개인정보 유출 확인을 빙자하여 ARS를 통해 계좌번호/비밀번호 등 금융정보 입력 요청 |
• 수상한 전화 거부 및 각 카드사에서 공지한 전화번호 확인 ※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118) |
|
명의도용을 통한 온라인회원 가입 |
이름, 이메일, 연락처 등 |
① 유출된 개인정보를 이용하여 웹사이트 가입 ※ 일부 홈페이지의 경우 이름, 이메일, 연락처만으로 회원가입 가능 ② 명의도용을 통해 본인도 모르는 수십여개의 웹사이트 가입하여 개인정보 불법 이용 |
• e프라이버시 클린서비스(www.eprivacy.go.kr)를 활용한 해당 사이트 탈퇴 요청 ※ 신고기관 : 경찰, 불법스팸대응센터(☏118) ※ 국내 사이트로 주민번호 사용 내역이 있는 경우만 가능하며, 주민번호 미사용시 서비스 불가 | |
|
휴대전화/이메일 스팸발송 |
휴대전화 번호, 이메일 주소 등 |
① 유출된 개인정보를 이용해 불특정 다수에게 스팸 발송 ※ 유출된 모든 휴대전화, 이메일로 도박 등 스팸 무작위 발송 가능 ※ 신용정보, 연소득등 활용 대출 스팸 발송, 자동차 보유여부를 활용한 보험 스팸 발송 등 특정유형의 개인에 대한 타겟 마케팅 가능 ② 휴대전화, 이메일 서비스 이용자는 원치 않는 홍보‧마케팅 광고 수신 |
• 지능형 스팸차단서비스를 이용한 스팸 차단, 수신 스팸 적극 신고 ※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118) ※ 지능형 스팸차단서비스 : 발신‧회신번호 등 발송패턴을 분석하여 스팸을 차단해주는 서비스 | |
|
사회공학적 기법을 활용한 악성코드 유포메일 발송 |
이메일주소 등 |
① 해커가 특정 대상을 목표로 스팸/피싱 시도용 첨부파일이 포함되어 있거나 연결을 유도 URL이 포함된 이메일 발송 ② 수신자들이 이메일에 포함된 첨부파일 및 URL을 클릭 ③ 해커가 수신자의 PC를 장악하여 기밀 및 개인정보를 빼냄
|
• 의심가는 이메일을 받은 경우 함부로 열람하지 않고 바로 삭제 • 사용자 PC의 바이러스 백신을 항상 최신버전으로 유지 및 정기적 검사 수행 ※ 신고기관 : 경찰, 불법스팸대응센터(☏118) |
'IT, 저작권 이야기' 카테고리의 다른 글
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
|---|---|
| 표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0) | 2016.10.26 |
| 인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0) | 2016.10.26 |
| 유럽 사법재판소 판결 유동IP 주소는 개인정보 (0) | 2016.10.24 |
| KT 유출사고 (0) | 2016.10.24 |
KT 유출사고
파라미터 변조
파라미터 변조란 매개변수의 변조를 의미하는 것으로
정보를 빼내기 위해 서버의 파일시스템 경로를 악의적으로 변경하는 공격. 공격자는 사이트의 URL 파라미터를 변경해 데이터베이스에 침입하여 정보를 변조 또는 유출시킵니다.(출처: TTA, 한국정보통신기술협회).
1. KT 유출사고
- 14년 3월 6일, KT 홈페이지 해킹으로 가입고객의 1천 6백만명중에
1천2백만명의 개인정보가 유출되었습니다.
- 유출된 정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등입니다.
- KT와 제휴를 맺고 있는 텔레마케팅 업체 대표 박모(37)씨가 영업을 위해 전문해커 김모(29)씨와 정모(38)씨와 공모하여 오픈소스 프로그램(파로스 프록시)을 이용하여, 고객고유번호 9자리를 무작위로 수 차례 입력하는 프로그램을 제작하였습니다.
2. 사용된 기술
- 파라미터 기반 사용자 인증방식에서는 계정을 식별할 수 있는 식별자를 통해 구분하는 경우가 대표적이며, 이러한 식별자는 특정위치에 저장되며 이러한 식별자는 특정 위치에 저장되며 클라이언트에 저장되는 데이터(예. 쿠키)는 신뢰할 수 없는 사용자 영역에 존재하기 때문에, 사용자가 임의로 조작이 가능하다는 문제점이 발생합니다.
- 1) 사용자 인증 식별자가 클라이언트에 저장되어있고,
2) 식별자 구성형태가 단순하여 유추가능할 경우 자신의 식별자를
타인의 값으로 변조하여 쉽게 해킹이 가능합니다.
3. 경과
- 14년 6월 방통위는 방통위는 KT社에 개인정보를 다량 보유한 기간통신사업자에 걸맞은 기술적, 관리적 보호 조치를 하지 않았기 때문이라며 과징금 7천만 원과 과태료 1500만 원을 부과하였습니다.
- 이에 대해 KT는 방통위를 상대로 과징금부과 처분 취소소송을 제기하였고, 재판부는 재판부는 “KT는 해커 공격에 대비해 침입탐지방지 시스템을 운영하고 상시로 모의 해킹을 수행하는 등 보호조치 기준을 적절히 이행했다”며 “파라미터 변조 수법이 널리 알려졌기는 하나 방식에서는 무수한 패턴이 있어 이번 해킹 공격에 대비하기 어려웠다”고 밝혔습니다.
4. 파라미터 변조의 대응방식
- 공격자가 쉽게 세션 ID를 유추 하지 랜덤화와 세션 길이를 적절히 하는 것이 필요하며, 세션 사용 종료시 즉시 파기될 수 있는 조치가 필요해 보입니다.
관련링크:
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
'IT, 저작권 이야기' 카테고리의 다른 글
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
|---|---|
| 표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0) | 2016.10.26 |
| 인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0) | 2016.10.26 |
| 유럽 사법재판소 판결 유동IP 주소는 개인정보 (0) | 2016.10.24 |
| 개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0) | 2016.10.24 |