구 분

법규 위반 내용

관련조문

처분사유 1

(최대 접속시간 제한 등)

o(최대 접속시간) 개인정보처리시스템에 최대 접속시간 제한 조치를 하지 않은 행위

- §282

- §155

- 고시 §4

- 2016. 5. 2.5. 9.까지(7일간) 개인정보처리자 PC 켜둔 상태에서 퇴근 후에도 업무망 및 DB계정 관리프로그램에 접속*을 유지한 채로 방치한 행위

 

* 이로 인해 해커가 사내망에서 별도의 인증절차 없이도 서버망(DB서버 등)에 손쉽게 접속이 가능하였음

- 작업일지에 기록도 하지 않고 2016. 5. 1.8. 11.까지 DB서버에 12시간 이상 접속한 횟수가 19{최대 89시간(3 17시간) 접속} 있었음에도, 이를 차단하지 않은 행위

o 그 밖에 접근통제가 미흡한 사항(망분리 등 5)

-(망분리) 보안성이 떨어지는 가상화 방식을 적용하여 운영한 행위

-(백업파일 관리) 개인정보처리시스템으로부터 백업받은 이용자의 개인정보 미암호화 및 이를 별도 분리 보관하지 않은 행위

-(원격데스크톱 설정) 개인정보처리자 PC에 원격데스크톱 방식의 공유설정을 허용한 행위

-(공용계정) 공용계정의 아이디와 비밀번호를 동일하게 설정한 행위

-(접속기록) 공휴일, 연휴기간 이후 접속기록의 재분석 등 보안관제 소홀

처분사유 2

(비밀번호 암호화 조치)

o DB서버, 웹서버 등을 포함한 시스템 비밀번호 관리를 소홀히 한 행위

 

(업무용 PC) 초 감염 PC에 내부 서버 및 PC 등에 접속할 수 있는 비밀번호*를 평문으로 기록하여 텍스트 파일 형태로 저장

* 해킹에 사용된 inter****를 포함한 다수의 비밀번호 존재

- §284

- §151

- 고시 §6

(NAS 서버) 사내 전산장비(DB서버, 웹서버 등)IP, 비밀번호 등이 기록된 엑셀파일 형태의 패스워드 관리대장과 동 엑셀파일의 비밀번호를 텍스트 파일형태로 평문으로 기록하여 함께 저장

처분사유 3

(신고 지연)

o 정당한 사유 없이 개인정보 유출사실 이용자 통지 및 신고를 지연한 행위

- §273


저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

지난 5월 해킹으로 2,500여만건의 회원정보가 유출된 온라인 종합쇼핑몰 ㈜인터파크에 대해 개인정보 유출사고 중 최대 금액인 44억8,000만원의 과징금 및 2,500만원의 과태료와 재발방지 대책을 수립ㆍ시행토록 하는 등의 시정명령이 부과된다.

방송통신위원회(위원장 최성준)는 12월 6일(화) 제68차 전체회의를 개최하여 개인정보보호를 위한 기술적ㆍ관리적 보호조치 의무를 위반한 ㈜인터파크에 대해 위와 같은 시정조치(안)을 의결하였다.

그 동안 방송통신위원회는 미래창조과학부와 공동으로「민ㆍ관합동조사단」을 구성하여 2016. 7. 25.부터 해킹경로 파악과 ㈜인터파크의 개인정보 처리·운영 실태에 대한 현장조사를 진행해 왔다. 

경찰청으로부터 넘겨받은 해킹사고 관련자료(37종, 5테라바이트)와 ㈜인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 분석한 결과,
인적사항을 알 수 없는 해커는 2016. 5. 3.경부터 2016. 5. 6.경까지 지능형 지속가능 위협(APT) 공격방식의 해킹으로 이용자 개인정보 총 25,403,576건(중복제거 시 20,510,131명, 다만, 법인 및 개인 탈퇴회원 4,426,240건은 아이디와 일련번호만 유출되어 개인정보 건수에서 제외)을 외부로 유출하였고, 유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목으로 확인되었다.

이번 개인정보 유출사고의 주요 원인은 정보통신망법 제28조제1항에 따른 기술적ㆍ관리적 보호조치 중 접근통제를 소홀히하여 ▲개인정보처리시스템에 대한 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 ‘최대 접속시간 제한 조치’ 등을 취하여야 하나, 개인정보처리자가 업무가 끝난 뒤에도 로그아웃을 하지 아니하고 퇴근하여 개인정보처리자의 컴퓨터(PC)가 해킹에 이용된 것 등으로 확인되었다.(붙임 참조)

특히, ㈜인터파크는 ▲보관ㆍ관리하고 있는 개인정보량이 2,500여만건으로 매우 방대하고, ▲여러 사업자와 개인정보를 공유하고 있기 때문에 이에 걸맞은 엄격하고 세밀한 개인정보 관리가 요구됨에도 ▲정보통신망법 제28조 제1항에 따른 접근통제 등 기술적ㆍ관리적 보호조치를 소홀히 하여 이용자의 개인정보가 유출되는 빌미를 제공하는 등 중과실이 있다고 판단하여 지금까지의 개인정보 유출사고 중 최대 금액의 과징금을 부과하는 등 엄정한 제재조치를 하였다.

최성준 위원장은 “반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다고 하면서, 이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다”고 말했다.

또한 “정부에서도 개인정보 유출로 인한 국민들의 불안과 피해를 최소화하기 위해 통신?쇼핑 등 생활밀접 분야 사업자들의 개인정보보호 법규준수 여부를 지속적으로 점검하고, 개인정보 불법유통이나 침해에 대해서는 연중 단속을 전개해 나가겠다”고 밝혔다.

붙임 : ㈜인터파크의 기술적·관리적 보호조치 위반사항(요약). 끝.

161206_(의결_가_보도자료)_인터파크의_개인정보_유출사고에_대한_시정조치_의결_자료(12.6).hwp


저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바