Min
블로그 이미지

Home

Write

Setting

About Me
Dark
Security Study/Securiy News

20.09.14 ( 개인정보보호 연차보고서 - 개보위 활동, 한국 데이터 및 개인정보 노리는 해커조직 2곳 분석, 코로나19 방명록 개인정보 유출 책임 )

HelloMG
|2020. 9. 14. 16:12

1. 개보위의 개인정보보호 연차보고서 - 개보위 활동

 

연차보고서에 국무총리 소속 중앙행정기관으로서 개인정보보호에 관한 사무를 독립적으로 수행하고 있는 개보위의 할동도 소개되어 있다고 합니다. 이의 내용으로는 개인정보보호에 관련된 여러 사항의 연차보고서 작성과 국회 제출, 대통령이나 개보위 위원장과 위원 2인 이상이 제기한 사항, 관계 법령과 기관에서 위임한 사항 등을 심의·의결한다고 하네요.

 

개보위가 출범한 후 2019년까지 총 3,820건의 안건을 심의하고 1,3010건의 안건을 의결했다고 합니다. 의결은 주로 개인정보보호에 관한 법령을 해석하거나 목저 이외 이용 및 제공에 관한 사항이었으며, 2016년에 개인정보 침해요인 평가제도가 도입되면서 안건 처리수가 대폭 증가했다고 하네요!!

 

그럼 개보위의 활동에 대해서 한번 알아보도록 합시다 :D

(1) 개인정보보호 기본 정책 수립 및 연구 강화

 

가. 제4차 개인정보보호 기본계획

 

개인정보보호 기본계획은 개보위에서 "개인정보보호법" 제9조에따라 3년마다 수립하는 중기계획입니다. 개인정보보호의 여러가지 법이나 목료, 방향 등을 담은 사항이며, 각 중앙행정기관은 매년 시행계획을 수립하고 개보위의 심의·의결을 걸쳐 시행한다고 하네요!

제1~3차 기본계획, 출처: 개인정보보호 연차보고서

개보위는 "대국민 정책 아이디어 공모", "학회 및 협의회" 등 다양한 의견을 수렴하여 제4차 기본계획을 수립했다고 합니다.

제4차 개인정보보호 기본계획

나. 2020년 개인정보보호 시행계획

 

개인정보보호 시행계획은 기본계획의 내용을 구체화하고 이를 달성하기 위해 각 중앙행정기관이 수립하는 연차별 세부계획으로 "개인정보보호법" 제10조 및 "개인정보보호법 시행령" 제12조에 근거를 두고 있다고 합니다.

 

2020년 개인정보보호 시행계획은 여러 부문에 대한 2018년 추진 실적과 2020년 추진계획을 주된 내용으로 하고 있으며 48개 중앙행정기관이 작성했다고 하네요 :D

 

다. 개인정보보호 정책 연구 및 전문가 간담회

 

개보위는 지속해서 정책, 신기술 대응에, 법, 제도에 관련해서 연구용역을 추진해왔다고 합니다. 이번 2019년에는 "개인정보보호법" 등 데이터 3법 개정과 관련된 과제를 중심으로 총 4건의 정책연구를 추진했다고 하네요 :D

 

(2) 법령의 개인정보 침해요인 평가

 

개인정보 침해요인 평가제도는 중앙행정기관의 장이 소관 법령의 제정 또는 개정을 통해 개인정보 처리를 수반하는 정책이나 제도를 도입 및 변경하는 경우 개보위가 해당 법령의 개인정보 침해요인을 평가하는 제도입니다.

 

2019년에 제·개정 법령에 대한 평가 실적은 1,530건(법률 116, 시행령 791, 시행규칙 623)으로, 이 중 개인정보 처리를 수반하지 않는 법령을 제외하면 320건이라고 합니다. 평가 결과, 개선권고가 129건, 원안동의가 191건이라고 하네요.

 

(3) 법령의 해석 등에 관한 의결

 

개보위는 법령의 해석 및 운용 45건, 목적 외 이용 및 제3자 제공 28건의 안건을 의결했다고 합니다. 그리고 "개인정보보호법" 제8조 제1항 제9호에 따른 행정안전부장관의 과태료 부과처분 결과 공표와 관련해 2건을 의결했다고 하네요 :D

 

(4) 개인정보 분쟁조정

 

개인정보 분쟁조정제도는 시간과 비용이 많이 들고 절차가 번거로운 소송으로는 적절한 피해구제에 한계가 있어 소송 외적으로 분쟁을 해결하기 위해 도입된 제도라고 합니다.

 

개인정보분쟁조정위원회(분쟁조정위원회)가 2001년에 설립이 되면서 도입되었다고 하며, "개인정보보호법" 제정으로 2011년에는 방송통신위원회에서 행정안전부로 업무가 이관되었고, 2015년 "개인정보보호법" 제정으로 개보위가 이 업무를 수행하고 있다고 하네요!

 

분쟁조정위원회가 2019년 처리한 분쟁조정 건수는 352건이며, 151건은 조정부에 회부해 조정안 제시 또는 기각등으로 처리되거나 합의로 처리되었다고합니다. 남은 201건은 종결이 되었다고하네요.

 

(5) 개인정보보호 정책 홍보

 

개보위는 개인정보보호 문화의 정착을 위해 분위기를 조성하기 위하여 개인정보보호 인식 주간 캠페인을 진행했다고 합니다! 그리고 개인정보 분쟁조정제도 또한 홍보를 했다고 하네요 :D

이로써 개보위의 활동에 대해서 기사를 통해 알아보았습니다. 상당히 많은 일들을 하고 있으며, 개인정보보호에 대한 핵심적인 역할을 담당하는 기관이라는것을 깨닫게 되었네요 :D

 

 

2. 한국 데이터 및 개인정보 노리는 딥웹 및 다크웹 해커조직 2곳 분석!

 

최근 랜섬웨어 조직의 활동이 이슈가 되었고 다크웹 및 딥웹을 주 활동무대로 삼아 한국 데이터 및 개인정보를 노리는 해커조직 2곳의 활동이 포착되고 있다고 합니다!! : (

 

Ensign InfoSecurity의 한국 사이버위협 인텔리전스팀이 분석한 현황에 따르면 딥웹 및 다크웹 내의 주요 언더그라운드 포럼에서 한국 관련 웹서비스와 모바일 애플리케이션을 대상으로 데이터 유출 사례가 증가하고 있다고 합니다.

 

이러한 분석을 통해 발견된 다크웹 및 딥웹 해커조직은 "ShinyHunters", "Megadimarus" 라고 하네요!

 

"ShinyHunters"는 딥웹 과 다크웹에서 2020년 1월부터 활동하였으며, 집***, 스***** 등 한국 업체 2곳의 데이터베이스를 게시해 국내에서 크게 이슈가 되었다고 합니다. 그리고 앱의 계정 정보를 게시하기도 했다고 합니다.

 

"Megadimarus"는 2020년 5월부터 활동하기 시작했으며 딥웹에서 국내 여행 O2O 업체인 야**의 사용자 정보를 게시해서 이슈가 되었다고 합니다. (다행히 사용자 로그인과 로그아웃 시간이 기록된 테이블이었으며, 개인정보는 포함되어 있지 않다고합니다)

 

이 외에도 "Megadimarus"는 지속적으로 토****, 꾸* 등 2곳의 사용자 정보를 판매 중이며 최근에는 플**** 데이터베이스의 특정 테이블 구조와 데이터를 게시하기도 했다고 합니다.

 

현재는 Ensign Infosecurity의 한국 사이버위협 인텔리전스 팀에서 지속적인 모니터링과 조사를 진행 중이라고 합니다. 또한 "ShinyHunters"와 "Megadimarus"의 활동량이 증가하고 있는 추세이지 각별한 주의가 필요하다고 하네요 !

 

 

3. 코로나19 방명록 개인정보 유출 책임

 

현재 코로나19 확진자의 감염경로 파악을 위해 수기 명부를 사용하는 영업장이 많습니다. 이에 명부 관리가 미흡하다는 지적이 많이 나오고 있다고합니다.

 

최근 식당 및 카페을 이용하기 위해 명부 작성한 뒤 모르는 사람의 연락을 받았다는 경험담이 많이 올라오고 있는 상황이라고 합니다.

 

염흥열 순천향대 정보보호학과 교수는 "명부를 보유한 사업장은 개인정보처리자로 볼 수 있으며, 정보가 노출 및 유출되면 사업자가 책임져야 할 것"이라고 설명했다고 합니다.

 

하지만 사업장이 개인정보를 실수로 유출했다는 점에서 형사처벌 등을 면할 수 있다는 해석도 나온다고 하네요.

이해원 목포대 법학과 교수 겸 변호사는 "사업장이 고의로 유출한 것은 아니기에 형사처벌까지는 아니고 손해배상 판결 또는 과태료 행정처분이 내려 질수 있다. 실수로 유출한 경우 개인정보보호법 26조 제7항 및 그에 따라 준용되는 29조 위반에 해당한다"고 했다고 합니다.

 

정부도 유출가능성 등 문제점을 인식하고 있어 약 3개월 전부터 고위험 시설은 QR코드 기반 전자출입명부 도입을 의무화했다고 합니다. 하지만 여전히 수기명부를 사용하고 있는 실정이라고 하죠.

 

그리고 가이드라인에는 명부 작성자가 타인의 정보를 볼 수 없도록 하고, 명부는 잠금장치가 있는 곳에 보관, 4주가 지나면 명부는 파쇄 및 소각 해야한다고 명시되어 있지만 확인하기 어려운 실정입니다.

 

중앙사고수습본부 관계자는 사업주 및 사업장이 책임지고 이행해야한다고 말하지만 모든 사업장을 점검하기는 현실 상어렵다고 하네요 : (

 

현재는 QR코드 인증 방식이 최선이며, 전자출입명부 없이 수기명부만 기록하고 있는 사업장에 한 해 지자체를 통해 사업장 대상 교육 및 관리감독을 강화할 예정이라고 합니다 :D

 

다만 IT기기 사용에 어려움을 겪는 노년층을 대상으로는 다른 방법이 필요하다는 지적도 나오고 있다고 합니다. 얼른 안전하고 좋은 정책을 마련했으면 좋겠네요 :D

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91144

 

[개인정보보호 연차보고서 톺아보기-5] 개인정보보호위원회 활동

개인정보보호위원회는 개인정보 침해요인 평가, 정부의 개인정보보호 기본계획과 시행계획, 개인정보보호 관련 정책·제도 및 법령 개선, 개인정보 처리에서 공공기관 간의 의견 조정, 개인정��

www.boannews.com

www.boannews.com/media/view.asp?idx=91151

 

[단독] 한국 데이터·개인정보 노리는 다크웹·딥웹 해커조직 2곳 집중분석

최근 국내 주요 대기업 2곳의 데이터를 탈취해 공개한 메이즈(Maze) 랜섬웨어 조직의 활동이 이슈가 된 가운데 다크웹(Darkweb) 또는 딥웹(Deepweb)을 주 활동무대로 삼아 한국의 데이터와 개인정보를

www.boannews.com

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29531&key=&dir_group_dist=&dir_code=&searchDate=

 

코로나19 방명록에 적힌 개인정보 유출은 누구 책임?

신종 코로나바이러스 감염증(코로나19) 확진자의 감염경로를 파악하기 위해 수기 명부를 사용하는 사업장이 여전..

www.ahnlab.com

 

'Security Study > Securiy News' 카테고리의 다른 글

20.09.16 ( 경제학적 관점으로 보안을 바라보기, 해커들의 타깃 '커넥티드 카', 보안업계의 중소기업 원격근무 지원 총력 )  (0) 2020.09.16
20.09.15 ( 기업들 랜섬웨어 대비, K-사이버방역 3차 추경사업, 이메일 조작 취약점 발견된 워드프레스 )  (0) 2020.09.15
20.09.11 ( 가명정보 결합체계 협의회 출범, 과기정통부 전자서명법 개정안 "보안인 홀대" 논란, 견적의뢰 위장 악성 메일 주의 )  (0) 2020.09.11
20.09.10 ( 개인정보보호 연차보고서 - 주요 판례, '국내대리인 제도' 운영 개선 권고, 비대면 소통을 위한 세미나 개최 )  (0) 2020.09.10
20.09.09 ( 하이웍스 사칭 메일, 과학기술정보통신부 SW안전 진단 실시, 악성 앱 발견 주의! )  (0) 2020.09.09

티스토리툴바