A통신사,<과징금1,347억9,100만원> 

과징금 부과 사유 및 재발 방지 대책

 

(1) 안전조치 의무 위반 및 유출 통지 위반으로 <과징금 1,347억 9,100만 원>, <과태료 960만 원> 부과

(2) 2,300여만 명의 주요 디지털 개인정보 유출

      이동통신 관련 핵심 네트워크 시스템에 대한 관리 소홀로 LTE·5G 서비스 전체 이용자 23,244,649명*(알뜰폰 포함, 중복 제거)의

      휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 (Ki, OPc) 등 25종의 정보가 유출

(3) 21년 최초 침투, 25년 개인정보 유출

      • 21년 8월: 최초 침투

      A통신사 내부망에 해커 최초 침투, 다수 서버에 악성프로그램 설치

      • 22년 6월: 추가거점 확보

      ICAS(통합고객인증시스템) 내 악성프로그램 추가 설치, 추가 거점 확보

      • 25년 4월 18일~: 개인정보 유출

      HSS(홈가입자서버) DB에 저장된 이용자의 개인정보 (9.82GB) 외부 유출

(4) 9월 초, 대규모 개인정보 처리자 대상 ‘개인정보 안전관리체계 강화 종합 대책’ 발표 예정

 

 

────────────────────────────────────────────────────────────

 

1. 기술적 보호조치 위반 사항: 안전성 확보 조치 고시 위반 사항

(1) 접근통제조치 소홀

     시스템망·고객 관리망·코어망 미흡한 분리운영

     비정상 통신 여부, 추가적인 악성프로그램 설치 여부, 접근 통제 정책의 적절성 등 유출 사고 사전 방지 대응 소홀

(2) 접근권한 관리 소홀

     서버 계정정보(ID/비밀번호 약 4,899개)가 저장된 파일을 관리망 서버에 미암호화 상태로 관리

(3) 보안 업데이트 미조치

    OS 보안 업데이트 및 백신 프로그램 미설치

(4) 유심 인증키 미암호화, 평문 저장

     유심인증키(Ki) 2,614만건 미암호화, 평문으로 HSS DB등에 저장

(5) 이외 미비 사항

     내부 관리계획 수립/시행 및 점검 소홀, 접속기록 미보관 등 안전조치의무를 미준수

 

2. 개인정보 책임자 업무수행 소홀 및 유출통지 지연

(1) CPO 역할 미흡

     개인정보 보호책임자(CPO)는 IT영역에 한정되도록 구성 및 운영, 인프라 영역은 관리감독 공백 상태

(2) 개인정보 유출통지 지연

     25년 4월 19일 유출 인지하였으나 법령에서 정한 72시간 내 통지의무 불이행

 

2024 개인정보 과징금 5대 이슈

 

1. ‘전체 매출액 3% 과징금’ 첫 적용

     A사 220만명 개인정보유출 과징금 75억

 

2. 혼선을 통해서 정보주체의 동의를 유도하는

     ‘다크패턴’에 과징금 최초부과, 보험사 4곳 과징금 92억

 

3. 종교, 정치, 동성결혼 등 ‘동의없는 민감정보 수집’ 및

    마케팅에 활용한 B사에 216억 과징금 부과

   국내 98만명 민감정보를 9만 여 타깃광고에 이용

 

4. ‘내부관리용 번호’가 다른 정보와 결합하여

    개인이 식별될 경우 과징금 부과대상

    C사 6만5천명 개인정보 유출 과징금 151억

 

5. ‘오픈소스 취약점’ 조치 미비에 대한 최초 과징금 부과

    D사 2만2천명 개인정보 노출 과징금 13억 

 

 

 

2024년 개인정보보호 7대 이슈

 

1. 크라우드스트라이크發 전세계 전산마비 사태
– 전세계 항공, 금융, 행정, 의료, 방송 전산시스템 850만여 대 장애발생
– 피해규모 최소 10억 달러(약 1조4천억원) 추산

 

2. 금융권 망분리 규제 개선안 발표
– 금융기관의 생성형AI 활용과 SaaS 이용범위 확대 발표
– SaaS서비스/생성형 AI 서비스 접속단말 보안강화 (접근통제, 감사로그확보, 이상행위 통제)

 

3. 국가정보원 공공기관 다층보안체계(MLS) 전환 발표
– 중요도에 따라 기밀(C), 민감(S), 공개(O)로 보안등급 나누어 차등 통제
– 2025년 초 까지 시범사업 후 결과에 기반하여 확대적용

 

4. 페이스북(메타) 216억 과징금 처벌
– 국내 98만명 이용자 대상 종교, 정치, 동성결혼 등 민감정보 수집, 타깃광고에 이용
– 페이스북의 다섯번째 유출 제재로 누적 합산 과징금 약 729억원

 

5. 개인정보유출 과징금 전체매출 3% 부과 처분
– 220만명 개인정보유출 G사에 과징금 총 75억원 부과
– 2023년 9월 개인정보보호법 개정 이후 전체매출 3% 과징금 부과 규정 첫 적용 사례

6. 개인정보의 안전성 확보조치 기준 안내서 발간
– FTP, 백업서버 등 공용 파일처리시스템 개인정보 처리시스템으로 분류
– 크리덴셜 스터핑 공격을 이용한 홈페이지 해킹사고를 개인정보 유출사고 범위에 명시

 

7. SBOM과 오픈소스 취약점 점검 투자 강화
– Linux XZ Utils 백도어, 크라우드 스트라이크, 세일즈포스 전산마비 사태 등 SW 공급망 관련 전산사고 지속 발생
– 트럼프 정부에서 SW공급망 위험관리 대표방안인 SBOM 정책 강화할 것으로 전망
– SW수출 활성화 위해 대한민국 정부도 SBOM 의무화 가속화할 것으로 예상

 

다층 보안체계 전환절차 

 

• 업무 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open)로  C/S/O 등급을 나누어 차등 보안통제

• 국가 망보안정책 개선 TF를 통해   2024년 말까지 로드맵 최종 확정, 2025년 시행 예정

 

1.  범정부 초거대AI와 공공데이터 융합 : 민간에서도 공공데이터 활용
2. 인터넷 단말에 업무용SW 설치 : 문서편집기, 협업SW, 클라우드 등
3. 생성형AI 허용 : 업무단말에서 챗GPT 등 접속
4. 외부 클라우드 협업도구 허용
5. PC에 악성코드 감염차단 구축 시 업무 단말 인터넷 허용
6. 연구목적 단말은 국내외 제한 없이 신기술 활용
7. 개발목적 단말은 인터넷 접속 통한 오픈소스 활용, 원격개발 허용

2021년 4월 6일, 자본시장법 시행으로

 

금융투자회사들은

 

메신저 이메일로 공매도 대차거래시

 

위변조가 불가한 전자적장치로 5년 보관 및

 

요청시 즉시제출해야 합니다.

 

 

관련링크

1. 2021-1-13, 금융위원회 공매도 관련 「자본시장과 금융투자업에 관한 법률 시행령」 일부개정령안 입법예고

 

2. 2020-12-21, 금융위원회 불법공매도 사후적발 확대를 위한 감시체계 구축

 

3. 2020-12-10, 금융위원회 [ 불법공매도에 대한 과징금과 형사처벌 도입

 

4. 2021-2-4, 금융위원회 [ 불공정거래 조사심리기관 협의회_ 조심협 개최

 

1. 보안점검결과를 대표자 및 이사회에 매년 보고해야 함
2. 금융보안원이 모든 금융기관의 보안을 점수화하여 등급화
3. 대표이사가 <정보> 파기책임자
4. 데이터3법개정에 따라 가명정보보호조치 및 신용정보주체 권리보장 반영

1. 가명화 조치와 이동권 보장을 골자로 한 데이터 3법 시행

2. 개인정보의 안전성 확보조치 기준 고시 개정(안)

3. 페이스북 67억 과징금 부과

4. n번방 사건과 개인정보 오남용

5. 랜섬웨어 감염으로 인한 고객 서비스 중단사태

6. 재택근무시 개인정보 유출 위험 증가

7. CISO 임원급 전담제 강화 법개정 추진

#개인정보보호 #고시개정 #랜섬웨어 #가명정보 #개인정보조회 #CISO #소만사 #프라이버시리포트

 

 

Privacy Report
신용정보이동권으로 New Player등장: 마이데이터사업자

역할
-정보주체에게는 신용도프로파일 등 신용정보관리서비스 제공
-신용정보제공이용자 대상으로는 정보주체의 권한을 대리행사

내부관리규정 포함사항
-개인정보처리기록보관, 개인신용정보관리체계, 이해상충방지, 신용정보분석시 왜곡방지, 임직원임무수행절차, 개인신용정보 관리계획 및 교육계획

사업자허가를 받기 위한 정보통신설비 조건
– 이동식저장장치통제프로그램, 데이터에 대한 접속기록유지, 데이터암호화, 외부접속시 안전한 접속수단 등을 포함한 14개 항목

 

 

2020년8월부터 정보주체의 결정에 따라 ‘신용정보의 대이동’

<신설> 신용정보이동권 신설

정보주체가 신용정보 이동권을 행사시,

신용정보제공이용자는

‘기존금융기관과 신규금융기관(마이데이터사업자, 비금융CB, 개인사업자CB, P2P연계금융사업자)’에

개인신용정보를 전송해야 함

1. 신용정보제공이용자의 범위가 비금융권으로 확대

​

1) 법적 정의가

“고객과의 금융거래 등 상거래를 위하여~신용정보를 타인에게 제공하거나 제공받는 자”로 개정

​

2) 비금융정보(공공요금, 통신비, 쇼핑, SNS포스팅)가 신용정보에 포함됨

​

3) 따라서 비금융정보를 신용평가나 정보주체의 요구에 따라

제공해야 하는 상거래기업 및 법인이 신용정보제공이용자로 포함됨

​

​

2. 마이데이터사업자 신설

​

1) 정보주체가 신용정보제공이용자에게 자신의 신용정보를 마이데이터사업자에게 제공할 것을 요청할 수 있음

​

2) 마이데이터사업자는 신용정보를 통합하여 통합결과를 정보주체에게 전달

​

​

3. 신용정보회사가 평가대상에 따라 세분화

​

1) 비금융CB 신설 : 금융거래내역이 부족한 사회초년생 등을 대상으로 비금융정보로 신용을 평가

​

2) 개인사업자CB 신설 : 개인사업자(자영업자) 대상으로 신용을 평가