4월 시행 예정의 일본 개인정보보호법 개정 내용과 시사점 ⚡ 글로벌 대형 IT 기업을 연달아 해킹할 수 있던 이유
⚡ '개인관련정보, 가명가공정보' 개념의 신설
⏰ 회원사 소식 : 플레시먼힐러드 뉴스레터, 20대 대선에서 읽어 본 국민의 마음
|
글로벌 대형 IT 기업을 연달아 해킹할 수 있던 이유
랩서스(LAPSUS)의 해킹 수법과 용의자
지난 뉴스레터에서 다뤘던 해커그룹 랩서스(LAPSUS), 기억하시나요? 지난번에는 랩서스에 대해 설명하고, 무엇을 해킹하고, 무엇이 목적인지에 대해 간략하게 다뤘다면, 이번 주에는 랩서스 해커로 추정되는 용의자 소식과 지금까지 알려진 그들의 해킹 수법 등을 알려드리려고 해요.
용의자는 누구야?
랩서스를 조사해 온 4명의 보안 연구원들이 지명한 주모자는 영국 옥스포드에 거주하는 16세 미성년자. 온라인에서 화이트(White) 또는 브리치베이스(Breachbase)라는 닉네임을 쓰는 16세 소년이 의심된다는 외신이 보도된 직후, 영국 경찰은 16-21세 사이의 7명을 체포해 조사했는데, 이 중 이 소년이 포함됐는지는 공개하지 않았어요. 현재는 경찰 조사를 마친 뒤 모두 귀가한 상태지만 아직 용의선상에서 벗어난 것은 아니라 계속 조사를 진행할 예정이라고 해요. 현재는 대부분 미성년자라서 실명을 밝힐 수도, 구금할 수도 없다고 하네요.
어떻게 해킹한거야?
엔비디아, 삼성전자, LG전자, 마이크로소프트, 옥타 등 글로벌 대형IT 기업들을 연달아 해킹한 랩서스. 이들의 IT 기업 해킹 수법은 대부분 허무할 정도로 평범했다고 해요. 임직원 계정을 악용한 것이 그 방법인데요, 비밀번호를 잊어버린 내부 직원인 척 고객센터에 직접 문의하거나 임시 비밀번호를 발급 받았다고 해요. 또, 내부 직원 또는 협력업체 직원의 시스템 접근 크리덴셜을 빼내기도 했고, 가짜 웹사이트 접속을 유도해 탈취하거나, 직접 접촉해 돈을 주고 사는 등 보안을 무력화하는 현란한 기술보다는 보안 정책 허점과 부도덕한 개인을 노려서 공격한 것이 특징이에요.
수법이 평범한데?
수법은 평범하지만 그 피해는 -그들의 주장이 사실이라면- 전혀 평범하지 않아요. 랩서스는 LG전자 직원 계정, MS의 검색 서비스 빙 등의 소스코드, 엔비디아의 GPU(그래픽처리장치) 회로도, 삼성전자의 계정 서비스 관련 모든 소스코드 등을 훔쳤다고 주장하고 있어요. 피해 기업들은 '핵심정보'는 아니라고 주장하지만, 해커 그룹의 공격에 뚫릴 정도로 취약점을 노출한 것도 사실인 만큼, 아무리 최첨단 보안기술로 무장해도 '100% 안전지대는 없다'는 점에 대해 다시 한번 생각해볼 필요가 있다고 전문가들은 입을 모으고 있어요.
랩서스, 어떻게 봐야 할까?
전문가들은 현재 랩서스는 큰 조직은 아닌 것으로 보이지만, 소셜 엔지니어링/피싱 등의 수법 등을 통한 사기 기술이 뛰어나다고 평가하고 있어요. 특히 강력한 보안 시스템을 갖추고 있는 대기업 여러 곳을 연속으로 해킹하는 것은 특이 사항이며, 마음만 먹으면 국가적인 중요 시스템도 망가뜨릴 시도를 할 수도 있다는 것을 방증하는 셈이죠. 현재 우리나라는 랩서스 수사를 시작했으며, 자료 유출 경위를 파악하는 데에서 나아가 미국과의 공조로 수사망을 좁히고 있어요.
피해 기업들은 유출 정보가 중요하지 않다고 밝히는 것보다는 랩서스가 더 많은 취약점을 알고 있을 것이라는 전제하에 유출 경로를 먼저 파악하고, 직원들의 보안 교육 등의 정책 강화, 내부 보안 전문가 채용을 늘리는 등의 방안을 마련해 대응하는 것이 중요해요.
|
'개인관련정보, 가명가공정보' 개념의 신설
4월 시행 예정의 일본 개인정보보호법 개정 내용과 시사점
일본 개인정보보호 개정법 부칙에는 '3년 주기 평가'가 있어요. 정보통신기술의 발전 등 여러 환경 변화에 능동적으로 대응하기 위해 3년 주기 평가를 실시하고, 이에 기초해서 경제계, 소비자 의견, 국내외 상황을 고려해 2020년 6월 '개인정보의 보호에 관한 법률 등의 일부를 개정하는 법률(2020년 개정법)'을 공포했고, 올해 4월부터 전면 시행된다고 해요.
일본의 개인정보보호법?
일본의 개인정보보호법은 우리나라와 유사하지만 세부 내용 및 개별 요건은 조금씩 달라요. 예를 들면, 우리나라에서는 개인정보 수집 및 이용 발생 시 동의를 기본으로 하는 반면, 일본 개인정보보호법은 '요배려 개인정보'(한국법상 민감정보와 유사한 개념)를 수집하는 경우에만 명시적 동의를 요구하고 있어요.
제3자 제공의 경우, 우리나라와 동일하게 사전 동의를 원칙으로 하고 있지만, 일정 조건을 충족하는 경우 사전 동의 대신 옵트아웃(opt-out, 사후동의) 기능을 제공할 수 있어요. 개인정보 처리 위탁의 경우 우리나라와 동일하게 수탁자에 대한 위탁자의 관리/감독 의무를 명시하고 있으나 이를 공개해야 할 의무는 없고요.
○ 개인정보 유출 등 사고 발생 시 보고 및 통지 의무
: 현행법에서는 보고 및 통지를 위해 '노력' 의무만 명시하고 있지만, 개정법에서는 위원회에 대한 보고 및 정보주체 통지를 의무화하고 있어요.
: 살아있는 개인에 관한 정보로서 개인정보, 가명가공정보, 익명가공정보에 해당하지 않는 정보인 '개인관련정보' 개념이 도입됐어요. 구체적인 가이드라인에 따르면 구매기록, 위치정보, 쿠키를 통해 수집한 웹 브라우징 기록 등이 개인관련정보에 해당된다고 해요.
: 다른 정보와 대조하지 않는 한 특정 개인을 식별할 수 없도록 가공된 개인에 관한 정보에요. 다른 정보와 결합하면 개인을 식별할 수 있을 정도로 가공된 것이기 때문에 개인정보에 포함된다고 해요. 따라서 법령에서 허용한 경우나 정보주체의 동의 없이는 제3자에게 제공할 수 없어요.
: 현재는 정보주체의 동의에 근거해 국외 이전 시 동의 의무만 명시하고 있지만, 개정법에서는 동의 의무와 더불어 위원회 규칙에 따라 이전 대상 국가의 명칭, 적절하고 합리적인 수준에서 확인된 이전 대상국가의 개인정보 보호체계, 개인정보를 이전 받는 자가 취한 보호조치 등을 반드시 정보 주체에게 알려야 해요.
○ 대중에게 공개되어야 하는 정보 추가
: 현행법은 일본 내에서 재화나 서비스를 공급할 때, 일본 내에 있는 정보 수집/처리자에게만 적용됐지만, 이제부터는 해외 국가의 제3자가 개인정보를 수집/처리할 경우에도 일본 개인정보보호법을 적용받는다는 것을 명시했어요.
일본 개인정보보호법 개정, 우리나라에는 어떤 영향을 미칠까?
법 전반에 걸친 개정이기에, 일본을 대상으로 영업활동을 하는 우리나라 기업들의 부담이 증가할 것으로 예상하고 있어요. 특히 법령 위반에 따른 벌금 규모도 커지고, 외국인 사업자에 대해서도 일본 내 사업자와 동일하게 개인정보보호법을 적용하도록 역욎거용 범위가 확대된 만큼, 개정법을 잘 준수할 수 있도록 관련 법령과 가이드라인을 꼭 확인하고, 철저한 대비가 필요하겠네요.
|
회원사 소식 [플레시먼힐러드]
뉴스레터, 20대 대선에서 읽어 본 국민의 마음
한국CPO포럼 회원사 [플레시먼힐러드]에서는 2022년 대선 특집 뉴스레터를 제작했어요. 이번 대선의 결과가 말해주는 시사점을 유권자의 시각에서 살펴보고, 선거 과정에서의 새로운 커뮤니케이션 트렌드와 한국 사회가 기대하는 리더십은 어떤 것인지 확인할 수 있어요. |
이번 주 뉴스레터는 어떠셨나요?
솔직한 의견을 보내주세요! |
|
