현대캐피탈 개인정보 유출 사고와 관련하여 기사에 올라온 내용을 보면, 이번 유출 진원지가 [리스차량 정비 시스템]이라고 합니다. 현대캐피탈 서비스 중에 차량을 리스해 주는 서비스가 있고, 고객들은 자신의 리스차량 계약현황, 정비사고현황, 범칙금 관리 등의 내용을 본 시스템에서 확인할 수 있다고 합니다.
바로 이 리스차량시스템에 고객들이 남기는 로그 정보를 통해 이름, 주민등록번호, 휴대폰 번호 정보가 유출되었다고 합니다.
[현대캐피탈 해킹 사고 관련 뉴스 보도]
 |
제가 이전 포스트에서도 지적했듯이 현대캐피탈은 900 여개가 넘는 업체와 개인정보 업무 위탁을 하고 있습니다. 이번 사고도 현대캐피탈 본 서버에서 발생한 것이 아니라 제휴 업체와 연결된 서버에서 발생된 것입니다.
개인정보 업무 위탁 시 위탁자는 제휴 업체인 수탁자의 개인정보보호에 대하여 관리 감독할 책임이 있고, 이와 같은 사고가 제휴(수탁)업체에서 발생한 경우 수탁업체를 위탁(현대캐피탈)업체의 소속 직원으로 본다는 정보통신망법 규정도 있습니다.
언론 보도에 의하면 현대캐피탈은 DB도 암호화하고 있고, 매년 4차례의 모의해킹 점검, 정보보호 관련 예산도 대기업 못지 않다고 하지만, 수많은 제휴 업체와 연결된 개인정보 유통 과정까지 모두 안전하게 관리 및 감독을 하고 있는지는 감독 당국이 필히 확인해 볼 필요가 있습니다.
[현대캐피탈 리스차량 서비스]
    |
현대캐피탈 리스차량 시스템은 현재는 서비스가 되고 있지 않습니다.
그리고, 이번에 사고가 터진 리스차량서버의 경우 로그 정보를 통해 개인정보가 유출되었다고 합니다. 로그 정보는 고객들이 해당 시스템에 접속하면서 기록되는 접속기록 등을 말한는데 고객 확인을 위해 로그정보에 이름, 주민번호, 휴대폰번호 등의 정보가 포함되어 있었기 때문에 문제가 된 것입니다.
현재 개인정보보호 관련 법률은 로그정보를 암호화 해야 된다는 규정은 없습니다.
현재 법률은 주민번호, 생체정보, 비밀번호, 계좌번호 등 금융정보의 경우에는 암호화 저장하도록 규정하고 있고, 개인정보를 네트워크 상에서 송 수신할 때 보안서버를 설치하여 암호화 전송하도록 규정하고 있습니다.
이번 리스차량시스템의 경우에도 로그정보에 개인정보가 포함되어 있었던 만큼 로그정보가 전송되는 구간에 암호화 전송을 하였는지 여부와 로그정보에 주민번호가 포함되어 있었다면 주민번호는 암호화 저장 대상이므로 암호화 저장을 하고 있었는지 여부에 대해서도 감사가 필요할 것으로 보입니다.
즉, 로그정보를 직접적으로 암호화 하라는 규정은 없습니다만, 최소한 현재 규정된 법률 상 보호조치 의무를 다하였는지는 필히 검사를 하여야 한다고 봅니다.
개인정보 안심 진단 서비스 PA 매니저 - 케이핌(www.kpim.co.kr)
'개인정보 침해사고 분석' 카테고리의 다른 글
| 고법 "GS칼텍스 개인정보 유출 배상책임 없다" (0) | 2011.06.28 |
|---|---|
| 개인정보침해 사고 시 경제적 피해 규모 (0) | 2011.05.12 |
| 개인정보침해로 인한 기업의 피해 (0) | 2011.05.11 |
| 현대캐피탈 개인정보 사고 관련 뉴스 스크랩 (0) | 2011.05.06 |
| 현대캐피탈 개인정보 침해 사고 분석 (0) | 2011.04.11 |
