20.10.05 ( 개인정보보호 연차보고서 - 교육 및 홍보 활동, 북한 해킹그룹 '비글보이즈' 금융권 사이버공격 주범으로 지목, 페이스북 무허가 개인정보 수집한 개발사 고소 )

1. 개보위 개인정보보호 연차보고서 - 개인정보보호 교육 및 홍보 활동

 

이번엔 개인정보보호위원회(개보위)를 비롯하여 행정안전부, 방송통신위원회, 금융위원회에서 수행한 개인정보보호 교육 및 홍보 등 인식 제고 활동을 알아보도록 하겠습니다.

---

(1) 개인정보보호 교육

 

가. 행정안전부

 

행정안전부(행안부)는 공공·민간 분야 개인정보처리자의 개인정보보호 역량 강화 및 정보주체의 권리 보장을 위해 개인정보보호 교육을 추진해왔습니다. 2019년에는 365만명이 교육을 이수하였으며, 교육 대상의 특성·수준에 따른 맞춤형 교육을 실시하고 교육체계를 학립하는 성과를 달성했습니다.

 

행안부는 현장에 특화된 교육을 제공하기 위해 권역별 순회교육을 실시했으며, 개인정보보호 업무담당자들의 역량 강화를 위해 전문교육을 실시했습니다. 또한, 공공기관 및 민간 분야의 개인정보보호책임자를 대상으로 개인정보보호 법·제도·정책 및 주요 개인정보 사건·사고 및 대응 방안을 공유하며, 책임과 역할에 대한 인식을 확립할 수 있는 CPO 워크숍 및 세미나를 개최하였으며 6,980명이 참석했습니다.

 

행안부는 교육 인프라를 확충하기 위해 개인정보보호 전문가 139명을 강사로 선발하였으며, 종합포털에 공개하여 공공민간에서 자율적인 교육이 원활히 이루어질 수 있도록 지원했습니다. 또한 전문강사에 대한 관련 제도를 활성화할 예정입니다.

개인정보보호 교육 운영 실적

 

나. 방송통신위원회

 

방송통신위원회(방통위)는 교육 수강자의 특성·수준별 맞춤 교육 과정을 개발하였으며, 교육 시간을 3시간으로 확대해 별도의 사업자 맞춤 특화교육 과정 3개를 신설하여 운영했습니다.

 

교육과정은 다음과 같이 구성되어 있습니다.

• 정보통신망법 주요 내용, 개인정보의 보호 조치 등 심화교육 내용을 포함한 기본 교육과정 (정기교육 과정 1)
• 개인정보보호 취약 분야 대상으로 창업기업을 위한 정보보호 가이드라인 (특화교육 과정 1)
• 개인정보보호 조치 모니터링 사례를 통해 알아보는 개인정보보호 (특화교육 과정2) 
• 최신 개인정보 상담 사례를 통해 알아보는 개인정보 사례 (특화교육 과정3)

방통위는 중소 및 영세사업자를 위해 '찾아가는 개인정보보호 현장교육'을 실시하였으며, '온라인 개인정보보호 교육 전문강사단'을 선발하고 양성하여 개인정보보호 교육을 지원했습니다. 또한, 온라인 포털을 이용해 사업자 대상 온라인 교육 프로그램을 운영했습니다.

 

방통위는 취약계층 대상 중점 교육을 시범적으로 시행했으며, 국내 최초 결혼이주여성 대상 개인정보보호 교육을 실시했습니다. 또한 초·중·고등학생 중심으로 찾아가는 개인정보보호 현장교육을 진행했으며, 교사·학부모·노년층에 대해서도 교육프로그램을 운영했습니다.

 

이처럼 방통위는 온라인 포털을 통해 단체교육이 이뤄질 수 있도록 이용자 대상 온라인 교육 프로그램을 운영하고 있으며, 여러 온라인 교육 컨텐츠를 서비스 제공하고 있습니다. 또한 다국어 교육 과정(영어 4종, 베트남어 1종)을 개발하여 더욱더 다양한 사람들에게 개인정보보호 교육 기회를 제공할 예정입니다.

 

다. 금융위원회

 

금융위원회는 전문적이고 종합적인 개인정보보호 역량 강화를 위해 금융위원회 및 산하기관 개인정보보호담당자의 역량 및 전문성을 강화하고 여러 사례를 중심으로 교육을 실시했습니다. 또한 금융위원회 직원 대상으로 개인정보 안전성 확보 조치 교육을 실시했습니다.

 

2019년 동안 금융보안원은 다음과 같은 교육을 실시했습니다.

• 금융 빅데이터 비식별 조치 및 활용을 주제로 집합교육 (07.17 ~ 19, 12.11 ~ 13)
• 금융권 개인(신용)정보보호 교육 (06.12 ~ 14, 11.06 ~ 08)
• 금융권 수탁 업무 관련 개인(신용)정보보호 교육 (11.27 ~ 11.28)
• 대상자별 온라인 개인정보보호 교육 운영

한국신용정보원은 금융권 신용정보 조회 업무대상자를 대상으로 온라인 교육 및 안전성 확보를 위한 라이프사이클 단계별 준수 사항에 대한 집합교육을 실시했습니다. 또한, 데이터 경제 시대의 개인정보보호 제도 동향에 대한 전 교육을 실시했습니다.

 

(2) 개인정보보호 홍보

 

방통위는 2010년부터 '인터넷 내 정보 지킴이 캠페인'을 매년 실시했습니다. 또한 SNS 및 모바일 메신저를 통해 개인정보 유출에 따른 피해가 증가하여 '셀럽들이 내 정보 지키는 핵심 인터넷 사이버 보안수칙'을 캠페인 슬로건으로 선정했습니다.

 

2019년에는 TV 교양 정보 프로그램인 'MBC 생방송 오늘아침'을 통해 피해 사례 및 예방수칙, 인터넷 관련 상담전화(118) 등 여러 서비스들을 소개했습니다. 또한, CM송을 제작하여 공감대를 형성할 수 있도록 노력했으며, 캠페인 캐릭터를 활용하여 이모티콘, 애니메이션 등을 제작한 후 다양한 온라인 홍보활동을 진행했습니다.

 

추석 연휴 기간과 지역 형평성을 고려해 KTX 및 SRT 전 노선 객실 내 영상매체를 통해 안전한 온라인 결제 및 클라우드 서비스 이용수칙 애니메이션을 송출했으며, 생활밀착형 서비스를 제공하는 30개사와 협업해 홍보 및 캠페인 효과를 극대화했습니다.

 

개인정보보호 정책 아이디어 제안 공모전(19.10 ~ 11)을 통해 소통하며, 정책에 대한 참여 기회를 확대했습니다. 또한, 이통통신사와 함께 캠페인을 추진하고 지역축제에 참여하여 지역과 협력하고자 했습니다. 이후 국민의 공감대 형성뿐만 아니라, 자발적인 개인정보보호 실천을 유도할 수 있도록 홍보를 강화할 예정입니다.

 

방통위는 매년 정보를 공유하고 네트워크를 형성할 수 있는 행사를 주최하고 있습니다. 온라인 개인정보보호 콘퍼런스를 개최하여 기업 실무자들의 정책 이해도를 높이고자 노력했으며, CPO 워크숍을 통해 국내외 개인정보보호 정책 및 최신동향을 전달했습니다.

 

제4회 개인정보보호 모의재판 경연대회(19.08)을 개최해 개인정보보호에 대한 관심을 제고하고자 했으며, 개인정보보호인의 밤 행사(19.12)를 개최해 사회 전 분야 개인정보보호인들이 모여 한 해의 성과를 공유하고 다음 해의 노력을 다짐하는 자리를 가졌습니다.

---

 

 

 

2. 북한 해킹그룹 '비글보이즈', 금융권 사이버공격 주범으로 지목

 

미국에서 지난 8월 26일 북한의 금융분야 사이버위협에 관한 경보를 발령했다고 합니다.

 

북한 정찰총국 소속의 해킹그룹 '비글보이즈(BeagleBoyz)'는 2015년부터 여러국가의 금융기관을 통해 20억불을 탈취 시도했다고 합니다.

 

• 은행 ATM 해킹을 통한 현금 인출(FASTCash)
• 은행 SWIFT 코드 사기 사건 (2016년 방글라데시 중앙은행 8,100만불 탈취)
• 대량의 암호화폐 탈취를 위한 암호화폐 거래소 탈취

한동안 잠잠하였지만 2020년 2월 이후 국제 송금 사기 및 ATM 해킹 등 활동을 재개했다고 합니다.

 

다양한 도구 및 기술을 사용해 금융기관 네트워크의 접근 권한을 획득하고, 네트워크 구성도를 익히며 금전을 탈취한다고 합니다. 특정 개인이나 회사를 대상으로 '스피어피싱' 그리고 피해자가 방문할 가능성이 있는 웹사이트를 미리 감염시켜 '워터링홀' 등 다양한 기술을 활용하여 최초 침투를 시도한다고 합니다. 이어 금융기관 망에 연결된 컴퓨터에 침투한 후, 피해 컴퓨터 시스템의 취약점을 선별적으로 공격한다고 합니다.

 

금융기관의 네트워크에 대한 취약점 공격을 진행하면서, OS의 보안요소 우회를 위해 다양한 기술도 사용하고 있다고 합니다. 또한, ECCENTRICBANDWAGON 등 멀웨어를 사용하여 키보드를 입력하는 내용을 가로채거나 스크린 캡처를 통해 계정정보를 탈취한다고 합니다.

 

금융기관의 SWIFT 터미널 및 지분 전환 응용프로그램 서버에 접근하고, 악성코드를 사용하여 금융기관 네트워크에 대한 원격 접속 및 통제 권한을 확보한다고 합니다. 이때, 원격 접속 트로이목마 악성코드로, 공격 대상 전산망에 원격으로 일종의 비밀통로를 형성한다고 합니다.

 

압축 및 암호화, 악성 스크립트, C2 채널을 통한 탈취등 다양한 방식으로 시스템에 침투하여 데이터를 탈취하고, 암호화폐거래소 해킹과 관련하여 원격조정 도구를 활용한다고 합니다.

 

이에 미국정부는 모든 금융기관을 대상으로 연방금융기관검사협의회 핸드북상 사이버보안, 지불시스템 관련 내용 준수 및 주요 시스템에 대한 산업 보안 표준 준수를 권고했습니다.

 

다음은 미국의 소매 지불 시스템 관련 기관과 현금자동인출기 관련 기관, 모든 기관에 대한 권고 사항입니다.

 

- 소매지불 시스템 관련 기관 대상

• 칩 또는 PIN 암호화 요구
• 지불시스템 인프라 격리
• 운영환경 논리적 분리
• 전송 중 데이터 암호화
• 비정상적 행위에 대한 모니터링

- 현금자동인출기 관련 기관 대상

• 금융 요구 메시지 발행인 응답에 대한 인증
• 직불카드에 칩 또는 PIN 의무화
• 금융 요구 응답 메시지 관련 인증 코드 요구

- 모든 기관 대상

• 이용자 및 관리자 사이버보안 강화
• 안티바이러스 서명 및 엔진 업데이트
• 운영체제 업데이트
• 파일 및 프린터 공유 서비스 해제
• 소프트웨어 설치 및 운용 관련 이용자 권한 제한
• 강력한 비밀번호 적용 및 주기적 변경
• 이메일 첨부물 주의

 

 

 

3. 페이스북, 무허가 개인정보 수집한 개발사들 고소

 

페이스북은 이용자 정보를 허가 없이 스크랩하는 크롬 브라우저 확장도구를 개발 및 배포한 회사를 소송하였다고 합니다.

 

소송을 당한 회사는 해외 기업인 유니매니아와 브랜드토털 등 두 곳이라고 합니다.

 

브랜드토털은 업보이스, 유니매니아는 애드피드라는 크롬 확장 도구를 제작하였으며, 업보이스는 5,000건, 애드피드는 10,000건 이상 설치된 것으로 추정하고 있다고 합니다. 또한, 브랜드토탈 홈페이지를 통해 '마케팅 인텔리전스'라는 이름으로 포장되 팔리기도 했다고 합니다.

 

브랜드토털은 업보이스를 설치하면, 온라인 기프트 카드와 같은 대가를 지급하는 방식으로 이용자들을 유인했다고 합니다. 해당 확장 도구 설치자는 패널로 불리며, 취득한 정보들은 기업들의 마케팅 결정과 브랜드 전략에 영향을 미쳤다고 합니다. 유니매니아 또한 비슷한 방법으로 홍보했다고 합니다.

 

하지만 페이스북에서는 두 확장 도구가 페이스북 뿐만아니라 인스타그램, 트위터, 아마존 유튜브 등 이용자 계정의 공식, 비공식적 데이터들을 수집할 수 있도록 설계된 점이 문제라고 밝혔습니다.

 

하지만 페이스북에서는 이용자의 개인정보들에 대한 수집 허가를 하지 않았다고 합니다.

 

페이스북에 따르면 두 확장 도구는 이용자 정보를 스크랩하기 위해 신원 코드를 사용했으며, 그들의 서버로 수집한 정보들을 보냈다고 합니다.

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91554

[개인정보보호 연차보고서 톺아보기-11] 개인정보보호 교육·홍보 활동

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29578&key=&dir_group_dist=&dir_code=&searchDate=

페이스북, 무허가 개인정보 수집한 개발사들 고소

www.dailysecu.com/news/articleView.html?idxno=114454

北 정찰총국 해킹그룹 ‘비글보이즈’…금융권 사이버공격 주범으로 지목 - 데일리시큐