메인 콘텐츠로 이동하기
  1. 보안 컨설팅 공부/
  2. 기본 법률/
  3. 개인정보보호법/

Day 07: 개인정보 유출 및 침해사고 대응

·4545 자·10 분
Security-Law-Study 개인정보보호법 유출통지 침해사고대응 72시간신고 ISMS-P
목차

Day 07: 개인정보 유출 및 침해사고 대응 #

1. 개인정보 유출의 개요 #

1.1 개인정보 유출이란? #

개인정보가 권한 없는 자에게 제공되거나, 개인정보처리자가 통제를 상실하거나 원치 않는 방식으로 외부에 공개되는 것

1.2 유출의 유형 #

(1) 기술적 침해에 의한 유출 #

  • 해킹, 악성코드, SQL 인젝션 등 외부 공격
  • 시스템 취약점 악용
  • 랜섬웨어 감염

(2) 내부자에 의한 유출 #

  • 직원의 고의적 유출
  • 실수에 의한 유출 (잘못된 수신자 전송 등)
  • 퇴직자의 개인정보 무단 반출

(3) 물리적 유출 #

  • 서류, 저장매체 분실 또는 도난
  • 출력물 미파기

(4) 위탁사·제3자에 의한 유출 #

  • 수탁자의 보안 사고
  • 제3자 제공 이후 유출

1.3 유출과 유사 개념 구분 #

구분내용
유출외부로 개인정보가 나가는 것
위조존재하지 않는 개인정보를 만드는 것
변조개인정보를 사실과 다르게 변경하는 것
훼손개인정보를 손상·파괴하는 것
침해위 모든 상황을 포괄하는 개념

2. 개인정보 유출 통지 의무 (법 제34조) #

2.1 통지 의무 발생 요건 #

개인정보처리자가 개인정보가 유출되었음을 알게 된 때 통지 의무 발생

“알게 된 때"의 판단:

  • 해킹 사실을 인지한 시점
  • 직원의 유출 사실을 확인한 시점
  • 외부 제보로 유출 사실을 확인한 시점

2.2 정보주체에 대한 통지 #

(1) 통지 시한 #

지체 없이 (사실을 인지한 후 72시간 이내 권고)

단, 다음의 경우 추가 조사 후 통지 가능:

  • 유출 규모 파악이 어려운 경우
  • 유출 경로 확인이 필요한 경우

(2) 통지 내용 (법 제34조 제1항) #

  1. 유출된 개인정보의 항목
  2. 유출이 발생한 시점
  3. 이용자가 취할 수 있는 조치
  4. 개인정보처리자의 대응 조치
  5. 정보주체가 피해를 최소화하기 위한 담당부서 연락처

(3) 통지 방법 #

  • 서면, 전자우편, 팩스, 전화, 문자 등 정보주체에게 개별 통지
  • 유출된 개인정보의 확인이 곤란한 경우 → 홈페이지 공지 또는 사업장 게시 (30일 이상)

(4) 통지 예외 #

  • 연락처를 알 수 없는 경우
  • 개별 통지가 현저히 곤란한 경우

→ 인터넷 홈페이지 공지 (30일 이상 게시)

2.3 개인정보보호위원회 신고 의무 (법 제34조 제3항) #

(1) 신고 대상 #

다음 중 하나에 해당하는 경우:

  1. 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우
  2. 민감정보 또는 고유식별정보가 유출된 경우
  3. 이용자 수가 일일 평균 100만명 이상인 정보통신서비스 제공자의 개인정보가 유출된 경우

(2) 신고 시한 #

유출 사실을 안 때로부터 72시간 이내

단, 72시간 이내 신고가 불가능한 경우:

  • 사유와 함께 신고 가능한 시기를 먼저 통보
  • 이후 상세 신고

(3) 신고 기관 #

  • 개인정보보호위원회 또는
  • 한국인터넷진흥원 (위임)
  • 신고 방법: 개인정보포털(www.privacy.go.kr) 또는 팩스, 서면

(4) 신고 내용 #

  1. 유출된 개인정보의 항목
  2. 유출 발생 시점 및 경위
  3. 유출 규모 (정보주체 수)
  4. 피해를 최소화하기 위해 취한 조치
  5. 대응 조치 및 향후 계획
  6. 담당부서 연락처

3. 침해사고 대응 절차 (ISMS-P 기준) #

3.1 사고 대응 6단계 프로세스 #

[1단계] 준비 → [2단계] 탐지 → [3단계] 분석
     ↓
[6단계] 재발방지 ← [5단계] 복구 ← [4단계] 대응

3.2 1단계: 준비 (Preparation) #

목적 #

침해사고 발생에 대비한 사전 준비 체계 구축

주요 활동 #

  • 사고 대응팀 구성 및 역할 정의
  • 비상 연락망 구축
  • 사고 대응 절차 문서화
  • 백업 및 복구 체계 구축
  • 모의훈련 정기 실시 (연 1회 이상)
  • 관련 법률 및 규정 숙지

사전 준비 항목 #

  • 침해사고 대응 매뉴얼 수립
  • 포렌식 도구 준비
  • 백업 데이터 관리
  • 외부 전문기관 연락처 확보 (KISA 등)

3.3 2단계: 탐지 (Detection) #

목적 #

침해사고 또는 이상 징후를 신속하게 발견

탐지 수단 #

  • SIEM (Security Information and Event Management): 보안 이벤트 통합 분석
  • IDS/IPS: 네트워크 침입 탐지·방지
  • 백신 프로그램: 악성코드 탐지
  • 접속 기록 모니터링: 이상 접근 패턴 탐지
  • DLP (Data Loss Prevention): 개인정보 유출 탐지

이상 징후 예시 #

  • 비정상적인 대용량 데이터 전송
  • 새벽 시간대 비인가 접속
  • 다수의 로그인 실패
  • 알 수 없는 외부 IP의 접속
  • 비정상적인 쿼리 실행 (SQL Injection 시도)

3.4 3단계: 분석 (Analysis) #

목적 #

사고의 범위, 원인, 영향을 파악

주요 분석 항목 #

  1. 사고 유형 파악: 해킹, 내부 유출, 랜섬웨어 등
  2. 피해 범위 파악: 유출된 개인정보의 항목 및 규모
  3. 침해 경로 분석: 공격 벡터 및 취약점 파악
  4. 타임라인 재구성: 언제, 어떻게 침해가 발생했는지

디지털 포렌식 #

  • 증거 보전: 로그, 시스템 이미지 등 원본 증거 보전
  • 무결성 확보: 해시값 등으로 증거 무결성 확인
  • 분석 보고서 작성

초동 조치 #

  • 감염 또는 침해된 시스템 격리
  • 공격자의 추가 침입 차단
  • 증거 보전 (시스템 종료 전 메모리 덤프 등)

3.5 4단계: 대응 (Containment & Eradication) #

목적 #

사고를 억제하고 근본 원인을 제거

단기 대응 #

  1. 침해 시스템 격리 (네트워크 차단)
  2. 공격 차단 (방화벽 규칙 추가, 계정 잠금 등)
  3. 악성코드 제거
  4. 취약점 패치
  5. 계정 비밀번호 전체 초기화

장기 대응 #

  1. 근본 원인 제거: 취약점 제거, 보안 설정 강화
  2. 보안 아키텍처 개선: 재발 방지를 위한 구조적 개선
  3. 피해 개인정보 유출 최소화 조치

법적 대응 #

  • 개인정보보호위원회 신고 (해당 시)
  • 수사기관 신고 (형사 사건 해당 시)
  • 피해자 통지

3.6 5단계: 복구 (Recovery) #

목적 #

정상적인 서비스 운영 재개

복구 절차 #

  1. 피해 시스템 복구
    • 백업 데이터로 복원
    • 클린 시스템 재구축
  2. 보안 패치 적용 후 서비스 재개
  3. 모니터링 강화: 복구 후 이상 징후 집중 모니터링
  4. 데이터 무결성 검증

복구 우선순위 #

  1. 핵심 비즈니스 서비스
  2. 개인정보 보호 관련 시스템
  3. 일반 지원 시스템

RTO/RPO 고려 #

  • RTO (Recovery Time Objective): 복구 목표 시간
  • RPO (Recovery Point Objective): 복구 목표 시점 (데이터 손실 허용 범위)

3.7 6단계: 재발 방지 (Post-Incident Activity) #

목적 #

동일 사고의 재발 방지 및 보안 수준 향상

주요 활동 #

  1. 사고 분석 보고서 작성

    • 사고 경위, 원인, 피해 규모
    • 대응 과정 및 결과
    • 개선 사항

  2. 재발 방지 대책 수립

    • 기술적 개선 (패치, 설정 변경, 시스템 개선)
    • 관리적 개선 (프로세스 개선, 교육 강화)
    • 물리적 개선

  3. 피해자 사후 관리

    • 추가 피해 발생 모니터링
    • 피해 구제 지원

  4. 보고 및 공유

    • 경영진 보고
    • 유관 부서 공유
    • 필요 시 업계 공유

4. 유출 통지 시 고려사항 #

4.1 통지 문안 작성 원칙 #

  • 명확하고 이해하기 쉬운 언어 사용
  • 전문 용어 최소화
  • 정보주체가 취할 수 있는 조치 구체적 안내
  • 지나친 기술적 내용 지양

4.2 통지 문안 예시 #

[개인정보 유출 안내]

○○주식회사는 소중한 고객 여러분의 개인정보가 
외부로 유출된 사실을 알리게 되어 깊이 사과드립니다.

1. 유출 확인 일시: 2025년 X월 X일
2. 유출된 개인정보 항목: 이름, 이메일, 연락처
3. 유출 경위: 외부 해킹 공격으로 인해 일부 서버에 
   침입이 발생하여 개인정보가 유출된 것으로 확인됩니다.
4. 피해 최소화를 위한 조치:
   - 해킹 경로 차단 완료
   - 취약점 패치 완료
   - 관련 당국 신고 완료
5. 고객 여러분이 취하실 수 있는 조치:
   - 비밀번호 즉시 변경
   - 동일 비밀번호 사용 중인 타 사이트 비밀번호 변경
   - 이상 금융거래 발생 시 즉시 신고
6. 문의처: 개인정보 침해신고센터 (☎ 118)
   담당자: ○○팀 ○○○ (☎ 02-XXX-XXXX)

4.3 2차 피해 방지 안내 #

유출 통지 시 정보주체에게 안내할 사항:

  1. 비밀번호 즉시 변경
  2. 동일 비밀번호 사용 사이트 변경
  3. 본인인증 수단 변경 (주민등록번호 유출 시)
  4. 금융 사기 주의 (금융정보 유출 시)
  5. 스미싱, 피싱 주의
  6. 개인정보 침해신고센터 신고 (118)

5. 주요 기관 및 연락처 #

5.1 신고 및 지원 기관 #

기관역할연락처
개인정보보호위원회행정처분, 과징금privacy.go.kr
한국인터넷진흥원 (KISA)침해사고 대응 지원krcert.or.kr
개인정보 침해신고센터피해 신고·상담118
경찰청 사이버수사대형사 수사cyberbureau.police.go.kr
금융보안원금융권 침해 대응fsec.or.kr

5.2 KISA 침해사고 신고 #

6. 보안 컨설팅 관점의 시사점 #

6.1 사전 예방 체계 구축 #

컨설팅 시 클라이언트에게 강조할 사항:

  • 정기적인 취약점 진단 (연 1회 이상)
  • 모의침투 테스트 (중요 시스템)
  • 보안 모니터링 체계 구축
  • DLP 솔루션 도입 검토
  • 내부자 위협 관리 체계

6.2 침해사고 대응 계획 수립 지원 #

클라이언트가 준비해야 할 사항:

  • IR (Incident Response) 계획서 수립
  • BCP/DRP 수립
  • 정기 모의훈련 실시
  • 외부 전문기관과의 협력 체계 구축

6.3 유출 통지 프로세스 설계 #

  • 통지 대상 데이터베이스 확보 (연락처 정보)
  • 통지 문안 사전 준비
  • 통지 채널 확보 (이메일, SMS, 우편 등)
  • 72시간 내 신고 프로세스 수립

6.4 법적 리스크 관리 #

컨설팅에서 고려해야 할 법적 요소:

  • 과징금: 위반 행위 관련 매출액의 3% 이하
  • 과태료: 최대 3천만원
  • 징벌적 손해배상: 실제 손해액의 3배 이하
  • 형사처벌: 5년 이하 징역 또는 5천만원 이하 벌금

7. 실무 사례 #

사례 1: 대형 쇼핑몰 해킹 사고 #

상황: 대형 쇼핑몰의 DB 서버가 SQL 인젝션 공격을 받아 고객 200만명의 이름, 이메일, 연락처가 유출됨

대응 절차:

  1. 탐지: SIEM에서 비정상 쿼리 탐지, 보안팀 확인
  2. 분석: 침해 경로 분석, 유출 규모 파악 (200만명)
  3. 대응:
    • 침해 서버 즉시 격리
    • SQL 인젝션 취약점 패치
    • 방화벽 규칙 강화
  4. 신고: 유출 인지 후 72시간 이내 개인정보보호위원회 신고
  5. 통지: 200만명 이메일 개별 통지
  6. 복구: 패치 완료 후 서비스 재개
  7. 재발방지: 웹 방화벽(WAF) 도입, 정기 모의해킹 실시

사례 2: 직원의 고의적 개인정보 유출 #

상황: 콜센터 직원이 퇴직 전 고객 5만명의 개인정보를 USB에 저장하여 반출

대응 절차:

  1. 탐지: DLP 솔루션에서 대용량 복사 탐지, 감사팀 조사
  2. 분석: 반출 데이터 범위 확인
  3. 대응:
    • 해당 직원 즉시 업무 배제
    • USB 회수 및 데이터 삭제 확인
    • 수사기관 고소
  4. 신고: 개인정보보호위원회 신고 (1천명 이상)
  5. 통지: 피해 고객 5만명 SMS 통지
  6. 재발방지:
    • USB 사용 정책 강화
    • 모든 직원 DLP 솔루션 적용
    • 퇴직자 계정 관리 강화

사례 3: 랜섬웨어 감염 #

상황: 중소 의료기관이 랜섬웨어에 감염되어 환자 정보가 포함된 파일이 암호화됨

대응 절차:

  1. 탐지: 파일 암호화 알림, 관리자 확인
  2. 분석: 감염 경로 분석, 개인정보 유출 여부 확인
  3. 대응:
    • 감염 시스템 즉시 격리
    • 백업 데이터로 복구 시도
    • KISA에 침해사고 신고
  4. 유출 여부 판단:
    • 랜섬웨어만으로는 유출이 아닌 경우도 있음
    • 외부 유출 증거가 있으면 통지·신고 의무 발생
  5. 복구: 백업 데이터 복원
  6. 재발방지:
    • 오프라인 백업 체계 구축
    • 직원 보안 교육 강화 (피싱 이메일 주의)
    • 취약점 패치 강화

8. 자주 묻는 질문 (FAQ) #

Q1. 유출 사실을 인지했지만 정확한 규모를 모를 경우 어떻게 해야 하나요? A. 알고 있는 정보를 바탕으로 우선 신고하고, 이후 추가 조사 결과를 보고하면 됩니다. 72시간 이내 신고가 원칙이므로 조사 완료를 기다리는 것은 바람직하지 않습니다.

Q2. 유출된 개인정보가 이미 공개된 정보라면 통지해야 하나요? A. 네. 개인정보가 공개된 정보라도 정보주체의 의사에 반하여 유출된 경우 통지 의무가 발생합니다.

Q3. 수탁자(처리 위탁 업체)에서 유출이 발생한 경우 누가 신고해야 하나요? A. 원칙적으로 위탁자(개인정보처리자)가 신고해야 합니다. 수탁자는 위탁자에게 즉시 통보할 의무가 있습니다.

Q4. 내부 직원의 개인 노트북에 개인정보가 저장되어 있다가 분실된 경우 유출인가요? A. 네. 개인정보처리자의 통제를 벗어난 경우이므로 유출에 해당합니다. 유출 통지 및 신고 의무가 발생합니다.

Q5. 홈페이지 공지로 통지를 대신할 수 있나요? A. 원칙은 개별 통지입니다. 연락처를 알 수 없거나 개별 통지가 현저히 곤란한 경우에만 홈페이지 공지로 대신할 수 있으며, 30일 이상 게시해야 합니다.

9. 체크리스트 #

사전 준비 #

  • 침해사고 대응 매뉴얼이 수립되어 있는가?
  • 사고 대응팀이 구성되어 있고 역할이 명확한가?
  • 비상 연락망이 구축되어 있는가?
  • 정기적인 백업 체계가 운영 중인가?
  • 연 1회 이상 모의훈련을 실시하는가?

탐지·분석 #

  • 보안 모니터링 체계가 구축되어 있는가?
  • 이상 징후 탐지 시 즉시 보고 절차가 있는가?
  • 디지털 포렌식을 위한 증거 보전 절차가 있는가?

대응·신고 #

  • 1천명 이상 유출 시 72시간 이내 신고 프로세스가 있는가?
  • 정보주체 통지 문안이 사전에 준비되어 있는가?
  • 개별 통지를 위한 연락처 데이터베이스가 최신 상태인가?

복구·재발방지 #

  • 복구 우선순위가 사전에 정의되어 있는가?
  • 사고 후 분석 보고서를 작성하는가?
  • 재발 방지 대책을 수립하고 이행하는가?

학습 정리 #

오늘 학습한 핵심 내용:

  • 개인정보 유출 인지 후 지체 없이 (72시간 이내) 정보주체 통지
  • 1천명 이상 유출 시 개인정보보호위원회에 72시간 이내 신고
  • 침해사고 대응은 준비→탐지→분석→대응→복구→재발방지 6단계
  • 수탁자 유출 시 위탁자가 신고 의무
  • 사전 준비(IR 계획, 백업, 모의훈련)가 가장 중요
  • 법적 제재: 과징금 매출액 3%, 징벌적 손해배상 3배

다음 학습 주제 #

Day 08: 개인정보 처리방침 - 처리방침의 작성 및 공개 의무