로고

한국 CPO 포럼
회원가입 로그인
  • 뉴스 및 공지
  • News Letter
  • 뉴스 및 공지

    News Letter

    Weekly Privacy MagaZine

    한국CPO포럼 에서 매주 회원 여러분들게 보내드리는
    개인정보보호
    뉴스레터 입니다.  


    [VOL.396] 기업 성장을 위협하는 최대 위험 '사이버 공격'

    페이지 정보

    profile_image
    작성자 사무국
    작성일Date 22-05-02 11:30

    본문

    2021년 국내 기업 침해사고 47.7%가 랜섬웨어
    63232_1645760637.png
    22년 4월 5주   <VOL 396>
    63232_1644987697.png
    이번 주 PICK
    ⚡ 기업 성장을 위협하는 최대 위험 '사이버 공격'
    ⚡ 개인정보 분쟁조정 사례, 한눈에 본다
    63232_1644987697.png
    기업 성장을 위협하는 최대 위험 '사이버 공격'
    2021년 국내 기업 침해사고 47.7%가 랜섬웨어

    국내 최대 기업에서 해킹 사고가 연이어 발생하며 악성코드 감염 이후 금전을 요구하는 랜섬웨어 공격이 갈수록 늘어나고 있어요. 과학기술정보통신부(과기정통부)와 한국정보보호산업협회(KISIA)에서 조사한 '2021년 정보보호 실태조사' 결과에 따르면 침해사고 경험률은 전년 대비 1%p 감소했으며, 침해사고 유형은 랜섬웨어 47.7%, 악성코드 41.9%, 해킹 11.4%, DoS/DDoS 공격 1.8% 순으로 나타나며 랜섬웨어가 가장 대표적인 공격수단으로 나타났어요. 또한 피해 건수는 줄었지만 피해 심각도는 오히려 늘어나, 매우심각한 피해를 입었다고 응답한 기업이 26.7%로 2020년보다 10.2%p 상승했어요.

    랜섬웨어(Ransomware)?
    랜섬웨어는 몸값(Ransome)과 소프트웨어(Software)의 합성어로 악성 프로그램을 사용해 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고, 이를 인질로 금전을 요구하는 공격이에요. 악성코드 감염사고는 대부분 대기업, 금융, 의료 등 자금 능력이 있는 기업을 대상으로 금전 갈취를 목적으로 발생되는데, 최근에는 더 지능화되고 다양한 형태로 나타나며 탈취한 개인정보나 기업의 중요 기밀정보를 외부에 공개하겠다고 협박하며 돈을 요구하고 있어요. 

    피해는 어느 정도인데?
    과기정통부 발표에 따르면 2022년 1분기 기준 랜섬웨어 해킹 피해 신고건수는 63건으로 2020년(21건) 대비 3배, 2021년 1분기(35건)과 비교해도 2배 가까이 늘어난 수치에요. 지난 2021년(223건)에는 2020년(127건) 대비 76%가 급증하며 매년 증가되는 추세이구요. 더욱이 기업 이미지 타격 등을 이유로 신고를 꺼리는 기업이 많기 때문에 실제 피해는 이보다 훨씬 클 것으로 예상된다고 하네요. 

    최근 사례로는 한 기업이 악성코드(하이브)에 감염되면서 전산망과 인터넷, 사내 네트워크 등이 마비됐어요. 랜섬웨어 공격을 감행한 해커는 이메일 주소만 남겨둔 채 별도의 요구사항을 전달하지 않았지만, 복구 과정에서 연락이 오면 금액을 제시했을 것으로 추정하고 있구요. 이 외에도 해커집단 랩서스(Lapsus$)가 국내 대기업 임직원의 계정정보를 유출해 주목되기도 했어요. 2021년부터 활동을 시작한 랩서스는 대기업의 강력한 보안 시스템의 허점을 파고들어 데이터를 빼낸 실력자들로 구성된 집단이며, 이들의 가장 큰 목적 역시 금전적 이득으로 추정되고 있구요. 랩서스의 해킹 사건은 기존 악성코드를 감염시켜 접근한 랜섬웨어 공격은 아니지만, 범죄적 관점에서 보면 정보 유출을 빌미로 돈을 요구하는 것이 랜섬웨어 공격과 유사하다고 볼 수 있다고 하네요.

    다른 나라는 어때?
    전 세계적으로도 사이버 공격으로 인한 피해 금액이 급증하고 있어요. 블록체인 데이터 플랫폼 기업 체이널리시스 '2022 가상자산 범죄 보고서'에 따르면 2021년 전 세계 랜섬웨어 피해액이 6억 200만달러(약 7,486억원)로 6년 전인 2016년(2400만달러)보다 25배가 넘게 증가했다고 나타났어요.
    2022년 1분기에는 러시아의 우크라이나 침공 관련 랜섬웨어 공격이 주목되기도 했어요. 두 나라의 전쟁이 사회, 경제 등 다방면에서 세계적인 혼란을 야기하고 있어 랜섬웨어 공격 조직들이 이를 적극적으로 악용하고 있구요.

    랜섬웨어 예방 어떻게?
    랜섬웨어 공격으로 인해 기업의 업무가 중단되고 데이터를 잃어버리는 것을 막기 위해 무엇보다 데이터 백업 등 선제적 예방 체계가 필요해요. 과기정통부와 한국인터넷진흥원(KISA)에서는 이를 위해 5천개 영세/중소기업을 대상으로 정기적인 데이터 백업을 지원해 랜섬웨어로 인한 업무중단 및 데이터 유실/유출 등 피해 예방을 위한 '데이터 금고 지원 사업'을 추진한다고 해요.

    기업/기관 정보보호 담당자들의 랜섬웨어에 대한 효과적인 대응전략 수립을 돕기 위한 일환으로 지난 2021년 Special Report 'Ransomeware'편을 발간했어요. 아직 읽어보지 못했다면 일단 클릭해서~ 일독 해보세요! 랜섬웨어 활동 동향과 기술적 이해를 돕기 위한 정보, 기업들의 실제 대응상황과 인식 수준 및 시중에 출시되어 있는 '랜섬웨어 전문 솔루션'에 대한 기업 정보보호 담당자 입장에서의 고찰도 함께 담겨 있어요.

    또한, 한국침해사고대응팀협의회(CONCERT)에서는 다가오는 5월 말, Anti-Ransomeware Contest 개최, 랜섬웨어 대응을 위한 모든 종류의 정보보호 솔루션을 한자리에 모아 소개 및 공유하고 실 사용자들의 요구사항을 파악하기 위한 토론 세미나를 준비하고 있어요. 관련 소식은 5월 뉴스레터를 통해 전달해 드릴 예정이니 기대 해주세요!

    <과거 관련 기사>
    63232_1644987697.png
    개인정보 분쟁조정 사례, 한눈에 본다
    개인정보보호위원회 '2021 개인정보 분쟁조정 사례집' 발간

    개인정보보호위원회의 분쟁조정위원회는 개인정보 침해 발생을 사전에 방지하고 유사 사례를 참고해 분쟁을 해결할 수 있도록 돕기 위해 매년 사례집을 발간하고 있어요. 이번에 발간된 '2021 분쟁조정 사례집'에는 총 74건의 사례가 수록되었고, 사건 개요와 합의/결정 내용, 위원회의 법률적 판단 내용 등이 포함됐어요.

    분쟁조정 신청 건수 증가
    최근 개인정보 유출 오남용에 대한 피해가 증가함에 따라 개인정보 분쟁조정사건 처리 건수가 개인정보보호법이 제정된 지난 2011년(126건) 이후 가장 많은 수치를 기록했어요. 사례집에 따르면 지난해 개인정보 분쟁조정 신청건수는 총 870건으로 전년(431건)의 비해서도 2배 수준이에요.

    분쟁조정 성립률은?
    지난해 분쟁조정 신청 된 870건 중 취하하거나 다른 기관으로 이송된 사건들을 제외하고 총 214건에 대해 조정이 진행됐어요. 이 가운데 152건이 조정 전 합의 또는 조정 성립으로 해결되어 조정성립률은 71%에 달했어요. 최근 3년간 조정성립률을 보면 2018년 61%, 2019년 66.2%, 2020년 70.6% 등으로 매년 높아지는 추세예요. 사건이 해결된 152건 중 77건은 손해배상이 결졍됐으며 사건당 평균 35만원의 손해배상금이 지급됐고, 최고액은 500만원이에요. 분쟁조정 대상사건 침해주체는 민간부문 88.7%, 공공부문 11.3%로 조사됐어요.

    분쟁조정사건의 유형은 어떻게 돼?

    '동의없는 개인정보 수집 및 이용'(113건)이 지난해 가장 많이 발생했어요. 이는 전년(64건) 대비 77% 증가한 수치며 전체 처리사건 수의 13%를 차지해요. 대표적인 사례로 정보주체의 동의 없이 결제계좌 정보 등을 변경한 사례, 보험금 청구 건에 대한 조사를 위해 보험금 지급 현황 등을 임의로 조회한 행위가 꼽혔어요. 

    다음으로 많이 처리된 침해 유형은 '수립한 목적 외 이용 또는 제3자 제공'(86건)이에요. 전체 처리사건 수의 9.8%에 해당 되며, 동의 없이 개인정보를 수사기관에 제공한 사례, 개인정보가 포함된 보도자료를 동의 없이 배포한 사례 등이 대표적이에요.

    뒤이어 '동의 철회/열람 또는 정정요구 등 불응'(79건)이 전체 처리 사건 수의 9%를 차지했어요. 그밖의 주요 사건들은 '개인정보 훼손/침해 또는 누설'(4%), '개인정보보호 기술적/관리적/물리적 조치 미비'(2.6%), '보유기간 경과 또는 목적달성 후 미파기'(2.4%) 유형으로 분류됐어요. 기존 침해 유형에 포함하기 어려운 '기타 개인정보 침해' 사례는 2020년 157건에서 지난해 514건으로 급증했어요. 디지털전환이 가속화됨에 따라 개인정보 침해양상이 복잡하고 다양해지고 있기 때문으로 풀이돼요.

    한계와 개선 방안
    동일 사건에 대한 신청자가 가장 많은 사건은 181명이페이스북을 상대로 친구 정보 제공과 관련해 분쟁조정을 신청한 사례예요. 특히, 이 사례에서 페이스북이 조정참여를 거부함으로써 공공기관과 달리 민간기관은 현행법상 조정참여를 강제할 근거가 없는 등 분쟁조정의 한계를 드러냈어요.
    이에 개인정보보호위원회는 조정참여 의무대상을 공공기관에서 '모든 개인정보처리자'로 확대하고, 조사관의 조사권한을 부여하는 등의 내용을 포함한 '개인정보보호법' 개정안을 작년 9월 국회에 제출했어요. 
    또한 늘어나는 개인정보 침해사고 추세에 맞춰 분쟁조정제도 개선방안을 발표했어요. 신청인들이 온라인에서 조정결정 내용을 열람/확인 할 수 있도록 시스템을 개편하고, 개인정보 침해 여부를 미리 확인할 수 있도록 '사전 자가진단' 기능도 제공할 계획이에요. 또한, 복잡하고 다양해지는 개인정보 침해양상을 고려해 올해 중 '손해배상 산정기준'을 현실화할 계획이에요.

    <과거 관련 기사>
    개인정보위, 분쟁조정제도 실효성 제고 위해 제도개선 추진 (2021.04)
    63232_1644987697.png
    이번 주 뉴스레터는 어떠셨나요?
    솔직한 의견을 보내주세요!
    63232_1644987697.png
    63232_1644987386.png
    homepage2-snsC.pngfacebook-snsC.pnginstagram-snsC.pngchannel-snsC.png
    (사)한국CPO포럼
    서울시 서초구 서초중앙로 56, 블루타워 7F
    수신거부  지난레터보기구독정보변경