3. 사전 방지 어려움 / 사후 원인 규명 곤란 재활방지책 마련 곤란 프로젝트 추진 방법론 해킹 수법의 고도화 회사 책임 조가 부각 및 여론에 의한 조기 단죄 초기 대응 미흡시 소송 패소로 연결 가능 집단소송 카페 게시판 여론 형성 피해 보상 요구 - 금감원 , 검찰 / 경찰 , 방통위 , 개인정보분쟁조정위 , 소비자원 , 언론매체 등 - 민 / 형사 및 행정 사건의 동시 다발적 진행 각종 기관의 동시관여 / 고객중심의 법해석 분쟁의 집단화 양상 소송 / 조정상 위자료 인정사례 증가 ( 해킹 피해기업도 책임 인정시 1 인당 1-20 만원 )
5. 주요 금융보안 관련 법령 요약 전자금융거래법 전자금융감독규정 및 시행세칙 정보통신망 이용촉진 및 정보 보호에 관한 법률 신용정보의 이용 및 보호에 관한 법률 전자금융거래 안전성확보와 이용자보호를 위한 각종 의무 인력 / 조직관리 , 외주관리 시설설비기준 , 정보기술시스템상 보호관리대책 ( 해킹방지 , 계정관리등 ), 내부통제에 관한 상세한 기준 준수의무 개인정보의 수집 / 이용 / 제공 / 파기에 관한 규제 개인정보보호를 위한 기술적 , 관리적 조치의무 및 기준 준수의무 ( 방통위 고시 ) -> 위반에 의한 정보유출 사고시 형사처벌 개인신용정보의 수집 / 이용 / 제공에 관한 규제 신용정보전산시스템의 안전보호 - 기술적•물리적•관리적 보안대책 수립의무 손해배상 입증책임의 전환 주요법령 개인정보보호법 개인정보의 수집 / 이용 / 제공 / 파기에 관한 규제 개인정보의 안전한 관리 ( 유출시 통지의무 ) 손해배상 입증책임의 전환 및 개인정보 단체소송 도입 금융실명거래 및 비밀보장에 관한 법률 실명확인의무 및 실명거래정보의 비밀보호 / 누설금지 의무 자본시장과 금융투자업에 관한 법률 금융투자회사의 내부통제기준 수립 및 운영 의무 NOTES
6. 금융기관 의무와 책임 전자금융거래법 보안시스템을 통한 접근통제 의무 금융 IT 침해사고 예방ㆍ대응체계 강화 의무 고객정보 유출방지 의무 금융정보 저장 및 전송시 암호화 및 홈페이지 등 공개용 서버관리 , 전산 자료 보호대책 , 해킹방지대책 등 외부에서의 접근통제 , 전 / 현직 직원의 내부 서버에 대한 접근 통제 강화 , 홈 페이지 등 공개용 서버 관리대책 등 IT 아웃소싱 업체에 대한 전문성 , 보안 수준 등 관리 검토 , 이용자 비밀 번호 관리 등 위반시 금융관련법령 위반에 기한 기관 및 관련 임직원 제재 대고객 손해배상책임의 근거인 금융기관의 과실책임 간주
7. 금융기관 의무와 책임 정보통신망법 보안시스템을 통한 접근통제 의무 개인정보의 암호화 고객정보 유출방지 의무 고객정보 , 거래정보 , 신용정보 등의 전송ㆍ저장시 암호화 기술 등 기술적ㆍ관리적 보호조치 내부관리계획의 수립 및 시행 , 접근 통제 , 접속기록의 위 / 변조 방지 등 임직원 및 아웃소싱 상주직원에 대 한 자료 유출 경로 차단 방화벽 , 침입차단시스템 등 설치 / 운영 고객정보 , 금융정보 , 거래정보 등 안전 한 암호알고리즘으로 암호화하여 저장 기술적․관리적조치 미이행으로 인한 누출 등 의무소홀의 경우 2 년이하 징역 또는 1 천만원 이하 벌금 및 과징금 / 과태료 처분
8. 금융기관 의무와 책임 개인정보 관련 법령 비교 신용정보법 신용 정보제공ㆍ이용자 ( 고객 및 직원의 ) 신용정보 민감정보 수집금지 개인식별정보 이용 · 제공 동의 X X X 원칙적 동의 필요 신용정보관리ㆍ보호인 정보통신망법 정보통신서비스제공자 및 준용사업자 고객정보 민감정보 수집 동의 X X 사전고지 및 동의 , 보호조치 원칙적 동의 필요 개인정보 관리책임자 개인정보보호법 개인정보처리자 ( 업무상 개인정보 취급자 ) 고객정보 + 직원정보 민감정보 및 고유식별정보 처리 동의 CCTV 설치ㆍ운영상의 제한 정보주체 통지 및 정부 신고의무 사전고지 및 동의 동의 불요 ( 단 , 공개의무 및 고지의무 있음 ) 개인정보 보호책임자 수범자 대상정보 민감정보 및 고유식별정보 CCTV 운영 처리 등의 위탁 국외이전 개인정보보호 책임자 정보유출 통지 및 신고
9. 관련 규정 위반시 기관 및 CEO 등 임직원 엄중 문책 예고 금융 IT 보안기준 및 사고 후 책임에 관한 감독법규 규제를 상향 예정 강도 높은 검사와 주요 지적사항 관련 내규 및 매뉴얼 관리소홀 , 보안전담조직 운영 부적정 , 해킹방지대책 불철저 고객정보관리 및 처리 부적정 , 보안관제 등 아웃소싱업체 계약 / 관리 부적정 서버 내부 사용자계정 관리 부적정 , 고객정보 비암호화 , 네트워크 보안 부적정 등 현장검사단계부터 정확한 사실관계에 기반한 관련 법률의 정확한 해석 필요 금융감독당국의 대응 I III II IV
10. 2008 년 정보통신망법 기술적 , 물리적 , 관리적 보호대책 ( 방통위 고시 ) 불이행으로 인한 정보유출의 경우 2 년 이하 징역 또는 1 천만원 이하 벌금 / 양벌규정 금융기관의 경우 , 입건 후 처벌사례 없으나 최근 환경 크게 변화 주요 관리소홀점 고객정보 비암호화 , 접근통제 불철저 , 알려진 취약점 미대응 등 경찰 사이버수사대 / 검찰 첨단범죄수사부 관심 증대 피해 금융기관의 과실점에 대해 정보통신망법위반죄로 입건 여부 적극 검토 중 사법당국의 대응 I III II IV
11. 금융감독법령위반 임직원 및 기관제재 민사상 손해배상 책임 정보유출에 대한형사 책임 ( 정통망법 위반 ) 대고객등 신뢰 훼손 금융기관의 법류 리스크 법적 위험 01 02 04 03
13. 금융기관이 법률적 위험에 노출되어 있어 이를 예방하기 위한 법률 자문도 정보보호를 위한 비용 항복에 포함하도록 감독당국의 유권해석 또는 문구 수정 별표 2 중 정보보호 관련 컨설팅 비용 및 정보보호컨설팅 분류표에 IT/ 정보보호 관련 법률 자문이 포함되는지 불분명 제 8 조 ( 인력 , 조직 및 예산 ) 제 3 항 " 제 1 항 제 1 호의 인력에 관한 기준은 < 별표 1> 과 같으며 , 제 2 항의 예산에 관한 기준은 < 별표 2> 와 같다 ." 정보보호 컨설팅의 범위 개정안 이 슈 의 견
14. 비밀번호 생성 규칙 문구를 명확히 수정 방통위 고시와 비교하였을 때 , 8 자리에 숫자 , 영문자 , 특수문자가 모두 들어가야 하는 것인지 그 중 2 가지만 혼합되면 되는 것인지 문구가 불분명하고 , 정보통신망법에 의하여 적용되는 방통위고시의 내용과도 불일치 cf. 방통위 고시 - 다음 각 목의 문자 종류 중 2 종류 이상을 조합하여 최소 10 자리 이상 또는 3 종류 이상을 조합하여 최소 8 자리 이상의 길이로 구성 ( 가 . 영문 대문자 (26 개 ), 나 . 영문 소문자 (26 개 ), 다 . 숫자 (10 개 ), 라 . 특수문자 (32 개 제 12 조 ( 단말기 보호대책 ) 제 3 호 " 비밀번호는 생년월일 , 주민등록번호 , 전화번호를 포함하지 않는 숫자와 영문자 및 특수문자 등을 혼합하여 8 자리 이상으로 설정하고 분기별 1 회 이상 변경할 것 " 개정안 이 슈 의 견
15. 정보보호 제품에 대한 인증 외국계 금융기관의 경우에 본사가 사용하는 정보보호제품의 사용을 허용 “ 국가기관”을 대한민국으로 한정하여 해석하는 경우 , 현재 인증 국가기관은 국정원 밖에 없고 , 해외 보안 업체들은 암호 소스를 국정원에 제공하고 있지 않음 따라서 문언상으로는 해외 정보보호제품은 사용할 수 없게 되는 결과가 되고 , 외국계 금융기관이 여러 국가에 통일적인 보안 시스템을 구축하거나 , 더 우수한 외국산 제품을 사용하기 곤란해짐 제 15 조 ( 해킹 등 방지대책 ) 제 2 항 제 1 호 " 정보보호 시스템에 사용하는 정보보호제품은 국가기관의 평가•인증을 받은 장비를 사용할 것 " 개정안 이 슈 의 견
16. 보안프로그램의 해제 고객 본인이 동의할 경우에 보안프로그램을 아예 설치하지 않도록 문구를 명확히 하거나 , 유권해석 단서의 해석과 관련하여 보안프로그램을 먼저 설치하고 해제해야만 하는 것인지 고객 본인이 동의하는 경우에는 보안프로그램을 아예 설치하지 않을 수 있는지 문제됨 후자의 경우 고객이 다양한 인터넷 브라우저를 사용할 수 있도록 보안프로그램을 개발 , 제공하는 것이 수월해지나 , 기존 금감원 입장은 전자의 입장으로 보임 제 34 조 ( 전자금융거래 시 준수사항 ) 제 2 항 제 3 호 " 해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용할 것 ( 다만 , 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다 )" 개정안 이 슈 의 견
18. 사고 인지 경위 유출 사고 발생 제일 먼저 해야하는 일은 ? 01 협박 ( 공갈 ) 접수 자체 모니터링 02 외부 제보 03 경찰 수사 개시 04
19. 첫번째 어려움 공개와 비공개 1 공개할 경우 해야 할 일 방통위 / 금감원 등 유관기관 신고 경찰에 수사의뢰 언론에 보도자료 배포 고객에 통지 2 공개할 경우 감당해야 할 외부 도전 방통위 / 금감원의 현장 조사 경찰의 수사 언론 보도 인터넷의 추측성 소문 , 악성 비방 고객들의 문의 쇄도 및 보상 요구 집단소송 카페 개설
20. 비공개가 정답인가 ? 1 해커의 은밀한 유혹 원하는 돈을 보내주면 모든 자료를 파기하고 절대 비밀을 지키겠다 . 선수끼리 선수답게 해결하자 . 자료는 나만 갖고 있다 . 2 고객정보 파기 약속을 믿을 수 있을까 ? 보안이 잘 되어 있는 기업에 대한 해킹은 그룹으로 이루어짐 금품도 받고 고객정보도 팔아 버릴 가능성 ? 협상 주체와 다른 이해관계를 가진 공범의 존재 많은 시일이 지난 후 다시 마음이 변할 가능성
21. 비공개 후 노출될 경우 해커와 타협한 후 해킹 사실이 노출될 경우 기업의 명성에 미칠 영향 - “ 고객들의 2 차 피해를 막기 위한 조치를 하기는 커녕 자신의 과오를 숨긴 기업” - 고객 이탈로 사업에 위기 초래 가능성 높아짐 형사소송에 미칠 영향 - 형사 입건될 가능성 급상승 - 처벌형 높아질 가능성 급상승 민사소송에 미칠 영향 - 2 차 피해를 주장하며 집단 소송 제기 가능성 높아짐 - 법원이 과실을 인정하여 손해배상을 명할 가능성 높아짐 - 손해배상액이 급격히 높아질 가능성 .
22. 공개 결정 ! 1 결정은 신속할 수록 좋음 공개 결정을 지연한 사이에 노출될 경우 단점 발생 뒤늦게 공개할 경우에 2 차 피해 예방을 하지 못하였다는 비난 발생 2 공개할 경우 감당해야 할 외부 도전 방통위 / 금감원 / 행안부의 현장 조사 , 행정처분 수사기관의 해커 수사 협조 요청 수사기관의 회사에 대한 과실 여부 조사 한국소비자원의 분쟁조정 절차 개인정보분쟁조정위원회의 분쟁조정 절차 금융소비자연맹 등 시민단체의 성명발표 , 정보공개 요구 각종 추측성 , 비난성 언론 보도 / 악의적 오보 인터넷의 추측성 소문 , 악성 비방 고객들의 문의 쇄도 및 보상 요구 / 집단소송 카페 개설 내부 직원 단속 사건 경위의 정확한 파악 등
24. 경찰 조사와 형사 입건 정통망법상 개인정보 분실 등 죄 제 73 조 ( 벌칙 ) 다음 각 호의 어느 하나에 해당하는 자는 2 년 이하의 징역 또는 1 천만원 이하의 벌금에 처한다 1. 제 28 조제 1 항제 2 호부터 제 5 호까지 ( 제 67 조에 따라 준용되는 경우를 포함한다 ) 의 규정에 따른 기술적 · 관리적 조치를 하지 아니하여 이용자의 개인정보를 분실 · 도난 · 누출 · 변조 또는 훼손한 자 제 28 조 ( 개인정보의 보호조치 ) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실 · 도난 · 누출 · 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적 · 관리적 조치를 하여야 한다 1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 · 시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영 3. 접속기록의 위조 · 변조 방지를 위한 조치 4. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 개인정보의 기술적 , 관리적 보호조치 기준 ( 방통위 고시 ) 동 기준 해설서 ( 한국인터넷진흥원 )
25. 경찰 조사와 형사 입건 정보통신망법 28 조 1 항 2 호 ~5 호 각호 및 이에 따른 고시 위반이 개인정보 분실 등의 원인이 되었을 때 사례에서 많이 발생하는 고시 위반 사유 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 · 운영 - IDS, IPS 의 운영 - IP 주소 등으로 접근 통제 - 웹서버의 개인정보시스템 여부 개인정보를 안전하게 저장 · 전송할 수 있는 암호화기술 등을 이용한 보안조치 - 개인정보 중 주민번호 , 비밀번호 암호화 . 로컬 저장시 전 개인정보 암호화 ( 로그 속 개인정보 ) - 비밀번호의 작성 규칙 ( 6 자리 , 8 자리 ) - 전송구간의 암호화 - VPN 접속시 추가 인증 백신 소프트웨어의 설치 · 운영 등 컴퓨터바이러스에 의한 침해 방지조치 - 백신의 설치 및 주기적 업데이트
26. 언론 대응 1 언론 대응을 회피하거나 , 적극적으로 이용하는 것은 바람직하지 않음 해킹 의심 정황 발견 사실 , 2 차 피해예방을 위한 고객들의 조치 요구 등 회사가 취해야 할 조치 와 관련된 언론 브리핑은 신속하고 적극적으로 전개 언론을 자극할 경우 , 추측성 보도로 이어져 결과적으로 후속 대응에 심각한 지장 초래 2 해킹의 정확한 경위가 밝혀지기 전 원인 / 결과에 대한 언급은 부적절 해커가 검거되기 전에는 유출 의심 정황이 있을 뿐 정확한 유출 자료는 확정되지 않음 해커가 검거되기 전에는 정확한 해킹 경로는 밝혀지지 않음 3 집단 소송의 원고는 언론 보도를 주된 증거로 사용 회사의 부적절한 언급은 집단소송을 독려하는 효과 특히 , 언론의 부정확한 보도 , 추측성 보도를 소송상 증거자료로 제출 3 부정확한 보도에 대해서는 즉시 정정 보도자료를 배포함이 바람직 문제된 부분에 대해서만 지적 정정보도 과정에서 지나친 언급은 자제
27. 고객 대응 / 집단소송 대응 1 고객 대응 지원 체계 강화 언론보도 직후부터 고객 문의 쇄도 , 불충분한 대응은 불리한 여론 형성으로 집단 소송 등에 영향 온라인 , 전화 , 방문 등 모든 상황에 대해 대응 요령 준비하여 시행 법무팀의 검토 하에 모범 문답을 준비 2 차 피해 방지 , 고객 정보 변경 등 필요 최소한 조치는 적극적으로 안내 해킹의 원인이나 전체 피해규모에 대해서는 ‘정확한 진상 규명중’ 2 집단 소송 카페 등 움직임 관찰 언론의 오보가 여론을 자극할 경우에 적극적으로 해명하고 적절한 조치 피해 고객을 위해 필요한 조치 검토 - 법적 책임을 미리 인정한 것으로 오해될 소지가 있어 시행에 있어서는 신중한 검토
28. 기타 유관기관 대응 1 한국소비자원 분쟁조정절차 있음 충분한 조사 없이 적극적으로 회사의 과실 인정 및 배상금 인정하는 경향 책임을 인정할 경우에 소송에 미치는 영향이 지대하므로 이의 제기 필요 2 개인정보분쟁조정위원회 위와 비슷 1 인당 배상금액을 100 만원 단위의 고액으로 인정한 사례 다수 1 인이 제기한 조정이라고 할지라도 집단소송의 원고수만큼 배상 청구와 마찬가지이므로 신중하게 대응 3 금융소비자연맹 등 시민단체 회사 방문 , 정보공개 요청 , 유관기관에 영향력 행사 등 적극적으로 활동 면담 , 최소한 정보 제공 등 적절하게 대응
29. 소송 대응 형사소송 1 수사기관의 수사 경찰 - CTRC, CCI 검찰 - 첨단범죄수사부 수사에 적극적으로 협조하면서 이슈에 신속한 해명 기술적 사실관계의 정확한 확정이 중요 - 엔지니어들의 속단 , 부적절한 법적 효과 해석 - 현업 직원들의 은폐 심리 , 보안부서의 동조 심리 참작 2 공판 관련 민사소송에서 공판기록 확보 시도 집단소송의 대리인이 해킹 피고인 무료 변론 사례 등
30. 소송 대응 민사소송 1 전국에 소송 제기 개인 , 단체가 산발적으로 전국에 소송 제기하여 수십건의 소송 동시 진행 패소판결 선고 등 다양한 파급 효과를 고려한 소송 운용 전략 필요 2 지급명령 이의 제기 3 본안소송 1 심부터 3 심까지 최소 3 년 이상의 기간이 소요되는 장기전 원고의 주장 , 입증을 기다려 필요 최소한으로 답변하는 전략 집단 소송 사건 / 유력 변호인 사건에 소송력 집중하고 다른 사건은 이에 병합하거나 기일 추정하는 전략 소송상 쟁점이 되는 기술적 사항의 반론 준비 전문가 증인 , 관련 기관 의견서 , 문헌 / 참고자료 확보 등 소송에 불리한 영향을 미치는 외부적 요인 검토 및 이에 대한 조치 언론보도 , 경찰 수사결과 발표 , 유관기관의 조치 , 시민단체의 활동 등
#4:타사 사례 등을 통해 볼 때 일반적으로 다음과 같은 형태의 요구 사항이 존재하였음 ○ 매각협상 등 매각과정에 참여 요구 - 대부분의 노조가 매각과정에 참여하기 위해 주장하고 있으나 대부분 받아들여지지 않음 - 실력행사의 일환으로 실사를 거부하는 등 많은 마찰을 빚고 있음 ○ 고용보장 , 단협 승계 , 노조 인정 , 근로조건 유지 요구 - 일반적인 매각이나 M&A 에서는 요구를 일단 수용하는 경우가 많음 - 다만 GM 이 대우자동차를 인수할 때처럼 buyer 가 단협 개정 , 인원 구조조정 등을 요구할 경우 노조와 대규모 충돌 가능성도 있음 ○ 위로금 ( 매각에 따른 보상금 ) 지급 요구 - 노조에서는 위로금 지급이 일반적인 관행이라고 주장하고 있으나 업종별로 차이가 있음 - 위로금을 지급하더라도 ‘얼마’라고 못박혀 있지는 않으며 , 투자기간과 수익률을 종합하고 , 노조의 반발 등 매각과정에서의 특수성 등을 고려해 지급하고 있음
![금융보안 관련 법률과 위기 관리 2011. 10. 25. 구 태 언 변호사 [email_address] 행복마루 법률사무소](https://image.slidesharecdn.com/20111024-111103104209-phpapp01/85/20111024-1-320.jpg)
