1. 내부 직원에 의한 개인정보 유출
- 기업이나 기관의 내부 구성원이 고의 또는 실수로 개인정보나 중요 데이터를 외부로 유출하거나, 보안 사고를 발생시키는 행위
| 구분 | 설명 |
| 주요 유출 정보 | - 고객 개인정보 (이름, 주민등록번호, 전화번호, 이메일 등) - 금융 정보 (계좌번호, 카드번호 등) - 기업 기밀 (기술 정보, 영업 기밀 등) - 내부 직원 정보 (급여, 평가 기록 등) |
| 고의적 유출 | - 금전적 이익 목적: 개인정보 판매, 경쟁사 제공 - 복수심 또는 불만 해소: 해고, 승진 누락, 업무 불만에 따른 보복 행위 - 산업스파이 활동: 경쟁사나 외부 기관에 민감 정보 제공 |
| 비의도적(과실) 유출 | - 부주의한 메일 전송: 개인정보가 담긴 파일을 잘못된 이메일 주소로 발송 - 파일 공유 실수: 클라우드 서비스나 내부 네트워크에 잘못된 권한 부여 - 소셜 엔지니어링 기법 등에 속아 정보 제공 |
1.1 발생 원인
① 미흡한 권한 관리
> 직원에게 과도한 접근 권한 부여
② 모니터링 부족
> 내부 정보 접근 및 다운로드 기록 미비
③ 보안 교육(또는 인식) 부족
> 개인 정보 등 중요 정보에 대한 보호 및 보안 교육 부족
④ 내부 감시 시스템 부족
> 이상 행동 탐지 시스템, 로그 모니터링 등 시스템 부족
1.2 관련 사례
- 14.01.08 카드 3사 개인정보 및 금융정보 무단 유출
> 카드 3사(KB, 롯데, 농협)는 KCB에 FDS 시스템 업그레이드 관련 용역을 진행
> KCB 담당 직원은 12.10 ~ 13.12까지 USB로 고객들의 개인정보를 유출
> 유출 정보를 대출광고업자에게 1650만원에 판매하였고, 대출광고업자들은 2300만원에 재판매
1.3 대응 방안
① 최소 접근 권한 부여
> 업무 수행에 필요한 최소한의 정보만 접근 가능하도록 설정
② 모니터링 시스템 구축
> 내부직원의 정보 접근 및 다운로드 로그 등을 모니터링할 수 있도록 시스템 구축
③ 주기적 보안 교육
> 개인정보 보호 및 보안에 대한 교육 시행
④ 데이터 암호화 및 접근 통제
> 중요 데이터에 대한 암호화 적용 및 접근 통제 (인증 시스템 강화)
1.4 관련 법률
| 구분 | 설명 |
| 개인정보 보호법 | - 제29조(안전조치의무) - 제34조(개인정보 유출 등의 통지ㆍ신고) - 제71조(벌칙) - 제75조(과태료) - 시행령 제30조(개인정보의 안전성 확보 조치) 제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등) 제39조(개인정보 유출 등의 통지) 제40조(개인정보 유출 등의 신고) - 개인정보의 안전성 확보조치 기준 제14조(공공시스템운영기관의 안전조치 기준 적용) 제16조(공공시스템운영기관의 접근 권한의 관리) 제17조(공공시스템운영기관의 접속기록의 보관 및 점검) |
2. NIA 개인정보 유출
- 최근 실시한 자체 감사 결과, 한 내부 직원이 개인정보가 포함된 자료를 유출한 사실을 최종 확인
> 유출 정보 : NIA 외부 자문위원 등의 개인정보
> 유출 항목 : 자문위원 개인의 소속과 핸드폰 번호, 이메일, 생년월일, 주민번호, 주소, 계좌번호 등
> 현재 유출된 자료는 모두 회수한 상태로, 유출 사실 인지 직후 관계기관 신고 등 추가 유출 방지를 위한 조치를 진행중
3. 참고
[1] https://www.boannews.com/media/view.asp?idx=136323&page=1&kind=1
'침해사고 > 개인정보' 카테고리의 다른 글
| 개인정보 유출 사고 (0) | 2025.01.07 |
|---|---|
| 카카오페이 개인신용정보 유출 (0) | 2024.08.22 |
| 개인정보 유출 사건 모음 (0) | 2024.08.18 |
| 증권사 및 대부중계 플랫폼 개인정보 유출 (0) | 2023.09.27 |
| 유안타증권 개인정보 유출 (0) | 2023.07.21 |