그동안 기업의 개인정보 유출사고와 관련하여
기업이 그 관련 관리 운영에 대한 책임을 어느정도 인정하여 주었던 과거와 다르게,
오늘(15일)은 불충분한 관리 운영에 대한 귀책사유를 인정해서
서울서부지법 민사12부(배호근 부장판사는 피해자 2882명이 SK컴즈를 상대로 낸 손해배상 청구소송에서 원고들에게 1인당 위자료 20만원을 지급하라고 판결했다.
판결문을 직접 보지는 못했지만, 관련 기사들의 내용을 종합해 보면...
다음과 같은 내용이 있었을 것으로 보인다.
(법이나 규정 상에 있는 모든 의무를 다 하였더라 하더라도,)SK 컴즈는...
① 개인정보가 대규모로 유출 되었는데 탐지하지 못했다.
② 내부 관리/운영자가 PC를 끄지 않고 24시간 켜 둬서 해킹에 용이한 상태로 관리/운영했다
③ 기업 라이센스가 없고 취약한 공개용 알집(사실은 알툴즈 업데이트 프로그램이었지만)을 사용했다
④ 보안상 취약한 FTP 서버를 운용하고 있었다.
등이 이번에 귀책사유로 언급된 내용으로 판단된다.
이번 문제로 각 회사 보안 담당자가 신경써야 하는 부분이라고 하면...
첫째, anti-APT 등 네트워크 이상 트래픽을 분석, 그리고 개인정보의 유출에 대한 탐지 여부를 확인할 수 있어야 한다. 작게 자주 일어나는 것도, 크게 한번에 가져가는 것도 모두 탐지가 되어야 할 것이다. 다만, NW 장비라는건 암호화 된 트래픽이나 encoding 된 소켓 프로그램 등에 대한 탐지는 분석이 어려우므로, Endpoint 단에서의 탐지 등도 고민해 보아야 한다.
둘째, 회사 내에서 PC를 24시간 켜 놓고 쓰지 못하도록 하는 방법을 마련해야 한다.
셋째, 라이센스 관리를 철저히 해서, 내부에서 인가한 프로그램이 아니면 설치해서 쓰지 못하도록 더 철저히 관리해야 한다.
넷째, 회사 내부에 운영하는 FTP 등 파일 관리 서버에 대한 관리를 더 철저히 해야 한다.
가 있을 것 같다.
아마도 SK컴즈에서는 항소하지 않을까 싶긴 한데, 이번 사태가 어떻게 진행되느냐에 따라서 각 기업들의 담당자들의 앞으로의 기업 보안 관리 정책이 달라질 수 있을 것 같다.
+. 재미있는건, 다른 업체(악성코드를 탐지하지 못한 백신 업체 Symantec이나, 보안관제를 하고 있던 안랩, 해당 PC를 해킹할 수 있게 만든 0day 취약점이 있었던 알툴즈 등)들은 무혐의 판결을 받았다는 점이다. 과연 법조인들이 생각하는건 어디까지가 문제의 원인이고(과실이 되고) 어떤건 아니라고 보는 걸까.. 그 판단의 잣대가 무엇인지 참 아리송해.
<기사 내용 中>
노컷뉴스: http://www.nocutnews.co.kr/Show.asp?IDX=2406108
재판부는 "SK컴즈 보안관리자가 로그아웃을 하지 않고 커진 상태로 둬 쉽게 해킹할 수 있도록 하는 등 개인정보보호 의무를 소홀히 한 점이 인정된다"고 판결 이유를 밝혔다.
재판부는 또 "SK컴즈는 개인정보가 유출된 것을 감지하지도 못했고 유출 뒤에도 개인정보를 회수했다는 자료가 없는 이상 개인정보가 유출된 정황은 현저하다"면서 "위자료 지급 책임이 있다"고 덧붙였다.
뉴시스 : http://media.daum.net/economic/clusterview?newsId=20130215125111833&clusterId=781851
특히 법원은 이번 판결에서 기업의 업무 소홀에 대해 구체적으로 지적했다. 3500만 건의 개인정보가 10기가 크기로 외부망으로 유출됐고 SK컴즈에서 운영하는 시스템이 이것을 이상 징후로 탐지하지 못했다는 점을 인정했다.
또 악성프로그램 유포에 이용된 공개용 알집이 보안상 취약해 해킹사고가 더 쉽고 용이하게 이루어지게 했다는 점과 보안상 취약한 FTP 서버를 제공한 점 등을 들어 SK컴즈가 법령상 개인정보보호 업무를 소홀히 했다고 판단했다.
ZDNET : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130215112741
서울서부지법 민사12부 배호근 부장 판사는 “SK컴즈가 3천500만명의 개인정보 유출을 인지하지 못한 점, 로그아웃을 하지 않고 PC를 방치해 둔 점, 공개형 알집 소프트웨어를 사용한 점이 과실로 인정된다"며 "피고 SK컴즈는 원고 535명에게 각각 20만원의 위자료를 지급하라"고 판결했다.
디지털 타임즈 : http://media.daum.net/digital/clusterview?newsId=20130215131107066&clusterId=781851
이어 "담당 직원이 로그아웃하지 않고 새벽까지 컴퓨터를 켜둬 해커가 쉽게 서버에 접근할 수 있도록 하는 등 개인정보 보호 업무를 수행하는데 잘못이 있다"고 강조했다.
그러나 법원은 원고들이 이스트소프트, 시만텍코리아, 안랩 등 정보보안 업체를 상대로 낸 손해배상 청구는 기각했다.
보안업체와 관련해서는 "이스트소프트의 알집 업데이트 서버가 변조돼 악성 프로그램이 생성되고 개인정보가 유출됐다는 사정이 인정되나 해킹에 이용됐다는 이유만으로 대량 개인정보 유출과 상당한 인과관계가 있다고 보기 어렵다"고 설명했다.
이어 "시만텍코리아에서 백신 업데이트를 소홀히 해 악성파일을 탐지하지 못했다고 인정할 근거가 부족하고 계약을 맺고 보안 업무를 담당하는 안랩에도 책임을 묻기 어렵다"고 덧붙였다.
댓글 없음:
댓글 쓰기