개인정보위, 동의 안내서 및 처리방침 작성지침 공개 ⚡ '읽지도 않고 동의' 관행 없앤다
⚡ 해커그룹 '랩서스'의 삼성-엔비디아 해킹
⏰ 센티넬원 랜섬웨어 보안솔루션 무료체험
|
'읽지도 않고 동의' 관행 없앤다
개인정보위, 동의 안내서 및 처리방침 작성지침 공개
지난 3일, 개인정보보호위원회는 '알기 쉬운 개인정보 처리 동의 안내서'(이하 안내서)와 '개인정보 처리방침 작성지침'(이하 작성지침)을 공개했어요. 개인정보처리자가 정보 주체에게 과도하게 동의를 요구하거나, 정보 주체가 개인정보 처리 내용을 제대로 확인하지 않고 동의하는 관행을 개선하기 위해 마련된 안내서와 작성지침이에요.
그동안 어땠는데?
2021년 개인정보보호 실태조사에 따르면 공공/민간의 개인정보처리자 94% 이상이 '정보주체의 동의가 개인정보 수집 근거'라고 응답했고, 정보주체가 동의서를 확인하지 않는 이유로는 '동의서 내용에 상관 없이 서비스를 반드시 이용해야 해서(34.9%)'라는 응답이 가장 많았어요. 웹사이트에서 개인정보 수집/이용에 동의하지 않아 다음 화면으로 넘어가지 못하거나, 은행에서 마케팅 활용에 동의하지 않아 신용카드가 발급되지 않는 등의 불편하고 불합리한 개인정보 수집/동의가 관행처럼 이어지며 사용자의 불편사례 및 문제가 많았어요.
추진 이유는?
동의는 헌법상 개인정보 자기결정권을 실현하는 중요한 수단으로서 정보주체가 자신의 개인정보처리를 실질적으로 통제할 수 있는 방법이에요. 하지만 관행처럼 이어져 온 과도한 동의 요구와 동의의 형식화가 국민의 정보주권을 보호하지 못한다고 판단해서 개인정보보호위원회는 지난 2020년에 '3개년 개인정보보호 기본계획'을 수립하고 바람직한 동의제도 구현을 위해 추진해왔어요. 그 결과물이 이번에 공개된 안내서와 작성지침이에요.
주요 내용은 뭐야?
안내서는 정보 주체의 동의를 받을 때 개인정보처리자가 지켜야 할 사항을 담았어요. 개인정보 처리 필요성을 예측해 포괄적으로 미리 동의를 받아서는 안되며, 필요한 시점에 필요한 최소한의 개인정보만 처리해야 해요. 또 최소한 범위 이외의 개인정보 처리에 동의를 거부한다는 이유로 재화나 서비스 제공을 거부하는 등 불이익을 줘서도 안돼요. 중요한 내용은 글자크기 9pt(포인트) 이상으로 다른 내용보다 20% 이상 크게 표시하거나 색깔, 굵기, 밑줄 등으로 표시해야 한다고 안내하고 있어요.
작성지침은 개인정보의 국외이전, 만14세 미만 아동의 법정대리인 동의, 긴급상황시 정보 제공 등 중요 내용을 포함하도록 권고했어요. 또 처리방침의 핵심사항을 정보주체가 쉽게 알아볼 수 있도록 기호로 구성한 개인정보처리표시제를 도입했어요. 민감정보나 생체정보, 국외이전, 제3자 제공 등에 관한 기호를 처리방침 앞부분에 요약된 형태로 공개하도록 하라는 내용이에요.
활용은 어떻게?
작성지침은 개인정보처리자가 활용할 수 있도록 의료, 학원, 여행, 공공기관 등 업종별 특성을 반영하였으며, 홈페이지, 사업장, 계약서 등의 개인정보 처리방침을 공개하는 방법도 함께 담았어요. 이번 지침으로 데이터 시대에 정보주체가 자기정보 처리를 충분히 이해하고 보호할 수 있는 계기가 될 것으로 기대되고 있어요. 다만 이번 작성 지침은 권고 성격이라 강제성은 없다고 해요. 개인정보보호위원회는 유관기관과 함께 관련 교육과 홍보를 강화하고 꾸준히 보완할 예정이라고 밝혔어요.
|
해커그룹 '랩서스'의 삼성-엔비디아 해킹
국제 해커그룹, 그들의 목적은?
'랩서스(LAPSUS)'라는 이름을 가진 국제 해커 그룹이 지난 5일 삼성전자 서버를 해킹했다고 주장했어요. 190GB 용량에 이르는 기밀 데이터를 탈취했다며 텔레그램 계정에 증거 이미지를 게시하고, 자료 일부를 토렌트에 업로드한 랩서스는, 지난 달에는 미국 반도체기업 엔비디아도 해킹하며 글로벌 기업을 연이어 공격하고 있어요.
랩서스(LAPSUS) 너희는?
남미 지역을 기반으로 활동하는 것으로 알려진 '랩서스'는 지난해 12월 브라질 보건부를 해킹했다는 사실을 텔레그램을 통해 알리며 등장했어요. 이후 '화웨이'의 기밀문서와 '애플'의 아이폰X 설계도를 해킹했다고 주장하기도 했으며, 올해 1월에는 포르투갈 최대 미디어 그룹과 남미 최대 규모 렌터카 회사에 대한 사이버 공격을 감행하기도 했어요. 그리고 이번 미국 엔비디아와 삼성전자를 공격하며 사이버 범죄의 표적을 전세계로 확대하고 있어요.
무엇을 해킹했어?
앞서 해킹 공격을 받은 엔비디아는 그래픽처리장치(GPU) 회로도와 중요 자료 등을 탈취당했는데, 이 중 오래된 코드 서명 인증서가 포함되어 있다고 해요. 인증서가 윈도우 멀웨어에 이용될 수 있다는 우려가 제기되고 있는 이유에요. 삼성전자를 해킹해 탈취했다고 주장하는 자료는 보안 플랫폼 '녹스'와 기기보안, 암호화, 삼성패스 등과 관련한 소스코드에요. 삼성전자는 임직원과 고객의 개인 정보는 포함돼 있지 않다고 밝혔고, 국가정보원도 국가핵심기술은 포함되지 않은 것으로 파악된다고 해요.
그들의 목적이 뭐야?
랩서스는 "우리의 유일한 목적은 돈이며 정치적인 동기는 없다"며 엔비디아 측에 100만 달러를 요구했고, 삼성전자에도 금전적인 협상을 제안했어요. 하지만 전문가들은 일반적인 랜섬웨어 해커조직과는 조금 다르다는 의견을 보이고 있어요. 텔레그램을 이용해 공개적으로 활동한다는 점, 이들의 등장이 러시아가 우크라이나에 사이버 공격을 감행한 시점과 맞물린다는 점, 대용량의 데이터를 한 번에 공개하고 있다는 점 등을 미뤄봤을 때 단순한 금전적인 이유가 아닐 수도 있다고 해요. 다른 공격 의도에 대해서도 모든 가능성을 열어두고 대응해야 한다는 것이죠.
그들만이 아니다?
이러한 해커그룹은 랩서스 뿐만이 아니에요. 다크웹에서 가장 많은 활동량을 보이고 있다고 알려진 랜섬웨어 해커조직 '콘티(Conti), 우크라이나를 침공한 러시아를 공격 중인 '어나니머스', 미국 콜로니얼 파이프라인을 공격해 큰 파장을 일으킨 '다크사이드', 북한의 대표적인 해커조직 '라자루스'와 '김수키' 등 수많은 국제 해커그룹이 활동하고 있어요. 이들은 국가를 배후에 둔 정치적 공격이나 산업기술 탈취를 노린 공격, 오로지 돈을 목적으로 한 랜섬웨어 공격 등 자신들만의 목적과 수법으로 전세계의 사이버 위협을 가하고 있어요. 특히 최근에는 더 큰 돈을 지불할 수 있는 기업을 노리고 범죄 수익을 극대화 하는 표적 공격이 성행하기 시작했어요.
높아지는 전세계 사이버 위협
코로나19와 디지털전환, 그리고 러시아의 우크라이나 침공 사태를 계기로 사회적 혼란을 틈타 해킹피해가 잇따르면서 사이버 안보 위협이 최고조에 달하고 있어요. 일본의 토요타도 지난 1일 부품을 공급하는 협력업체가 랜섬웨어 공격을 받으면서 자국 내 모든 공장 가동을 중단하는 피해를 입었죠. 국내 기업들도 사이버 공격의 피해 대상이 될 위험성이 높아졌기 때문에 기업들은 평상시보다 강도 높은 보안점검 등 대비태세 강화가 필요한 상황이에요.
|
센티넬원 랜섬웨어 보안솔루션 무료체험
센티넬원(SentinelOne)은 한국 총판사 에스케어와 함께 랜섬웨어 보안솔루션 무료체험을 진행합니다. 센티넬원은 MITRE ATT&CK 2021 테스트 결과에서 업체 최고점을 받은 글로벌 솔루션으로, 최근 랜섬웨어를 통한 위협이 국내 기업의 많은 피해를 지고 있는 상황 속에서 랜섬웨어 탐지, 차단, 복구를 단일 솔루션으로 제공하는 특화된 제품입니다. 제품상세보기👆
무료체험 참가자에게는 추첨을 통해 스타벅스 커피 또는 치킨 세트를 선물 드리고 있습니다. |
이번주 뉴스레터는 어떠셨나요?
솔직한 의견을 보내주세요! |
(사)한국침해사고대응팀협의회(CONCERT)
서울시 서초구 서초중앙로 56, 블루타워 7F
|
|
|
