타깃, 홈데포, JP모건 체이스 등 각 산업별로 잔뼈가 굵은 기업들에게서 대형 유출 사고가 연달아 일어나면서 사이버보험 산업이 뜨고 있다. 사이버보험은 독립된 상품이라기보다 기존 보험정책에 몇 줄 들어있던 첨가물 정도로 취급받아왔던 것으로, 심지어 존재가치가 아예 무시받던 경우도 많았다.

(생략)

현재 사이버보험 상품은 보험 산업에서 가장 크게 자라고 있는 분야입니다. 현재는 기존 상품에 사이버 사고 관련 내용이 덧붙는 형태가 아니라 독립된 상품으로서의 수요가 늘고 있으며 보다 다양한 커버리지를 원하는 회사도 많아지고 있습니다.”



인터넷 기업들이 개인정보를 이용하여 사업을 하다 언젠간 정보유출을 당할수가 있음.

기업들이 완벽한 보안을 한다고 해도, 보안을 뚫고 정보 유출당할 가능성이 있다보니 외국에선 사이버보험사업이 성장한다고 하는 기사를 봄. 

앞으로, 기업에서 개인정보보호가 최우선으로 투자되지 않을까란 생각을 해보고, 개인정보보호관련 사업이 생각이상으로 뜨지 않을까란 생각을 해봄.



Buy me a coffeeBuy me a coffee

개인정보


'생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보(당해 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결함하여 식별할 수 있는 것 포함)'을 의미함.

즉, 해당 정보만으로 개인을 식별할 수 있는 경우는 개인에게 고유한 특성을 상징하거나, 그러한 상징을 내포할 수 있는 유일한 식별자를 의미하는 것.

ex) 대한민국의 주민등록번호

해당 정보만으로 개인을 식별할 수 없는 경우라 하더라도, 다른 정보와 결합하여 개인을 식별할 수 있는 경우 그러한 정보들의 조합이 개인정보로써 인정될 수 있다.

개인정보는 본인의 의사에 반하거나 본인이 알지 못하는 상태에서 이용될 경우 당사자인 정보주체의 안녕과 이해관계에 영향을 미칠 수 있는 개인관련 정보를 포괄한다고 볼 수 있다.

개인정보는 살아있는 자연인의 내면적 사실, 신체나 재산상의 특질, 사회적 지위나 속성에 관하여 식별되거나 또는 식별할 수 있는 정보의 총체를 일컫는 것으로 이해할 수 있다.


프라이버시(Privacy)


법적 개념

'사적인 생활의 공표 내지 노출을 침해받지 않을 권리'

대한민국 헌법 제17조에는 '모든 국민은 사생활의 비밀과 자유를 침해 받지 아니한다'라고 규정

원하지 않은 접근으로부터 자유로운 권리, 자신에 관한 정보가 자신이 원하지 않은 방식으로 이용되지 않을 권리, 자신도 모르는 사이에 정보가 남에게 수집되지 않을 권리, 자신이 정확하고 올바르게 표현될 권리, 자신의 정보가 지닌 가치에 대해 보상받을 권리를 내포하고 있다.


전통적 의미에서 프라이버시

남에게 방해 받지 않을 권리, 인간의 존엄성과 관련된 천부적 인권, 사생활보호법이나 초상권 등을 포함하는 소극적 의미


현대 정보사회에서의 프라이버시

적극적으로 자신에 대한 정보를 관리/통제할 수 있는 권리, 그리고 기록된 개인정보가 부정확함으로써 발생 가능한 각종 부작용을 예방하기 위해 자신의 정보를 확인하고 정정할 수 있는 청구권적 성격을 지닌 적극적인 의미


프라이버시는 보호되어야 하는 개인의 사생활 일체이며, 개인정보는 보호되어야 하는 개인의 식별정보 일체를 뜻함.

개인정보는 프라이버시 권리와 관련하여 파생되고 강조된 개념이다.

프라이버시는 오늘의 개인정보의 이용 없이는 할 수 있는 일이 극히 제한적이기 때문에 보호되어야 하는 대상이며, 개인정보는 보호대상인 동시에 이용해야 할 대상이다.

Buy me a coffeeBuy me a coffee

OECD 개인정보보호 8개 원칙




OECD 8원칙 

주요 내용 

 수집제한의 원칙

  • 적법하고 공정한 방법을 통한 개인정보의 수집
  • 정보주체의 인지 또는 동의를 얻어 개인정보 수집
  • 민감한 개인정보의 수집제한

 정보 정확성의 원칙

  • 이용목적과의 관련성 요구
  • 이용목적상 필요한 범위 내에서 개인정보의 정확성, 완전성, 최신성 확보

 목적명시의 원칙

  • 수집 이전 또는 당시에 수집목적 명시
  • 명시된 목적에 적합한 개인정보의 이용

 이용제한의 원칙

  • 정보주체의 동의가 있거나, 법규정이 있는 경우를 제외하고는 목적 외 이용 및 공개 금지

 안정성 확보의 원칙

  • 개인정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 조직적, 기술적 안전조치 확보

 공개의 원칙

  • 개인정보의 처리 및 보호를 위한 정책의 공개
  • 개인정보관리자의 신원 및 연락처, 개인정보의 존재사실, 이용목적 등에 대한 접근 용이성 확보

 개인참가의 원칙

  • 정보주체의 개인정보 열람·정정·삭제청구권 보장
  • 정보주체가 합리적 시간과 방법에 의해 개인정보에 접근할 수 있도록 보장

 책임의 원칙

  • 개인정보 관리자에게 원칙 준수의무 및 책임 부과


Buy me a coffeeBuy me a coffee

법률에서 정의하는 개인정보



개인정보보호법



살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)


정보통신(정보통신망이용촉진 및 보호 등에 관한 법률)



생종하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다).

Buy me a coffeeBuy me a coffee


2014년 6월 1일부터 신한카드에서 "개인 정보 수집 항목"에 MAC Address, HDD serial, CPU ID, 원격 접속 여부, Proxy 설정 여부, VPN 설정 여부, USB serial, Main Border serial, UUID, OS 버전, 안드로이드 OS 코드네임, 기기 제조사, 모델명, 단말기 ID, 네트워크 국가 코드, SIM Card 정보 등 수집항목 추가된다는 소식을 들었습니다.


아니 민감한 개인정보와 내가 무슨 컴퓨터를 쓰는지, 컴퓨터에 대한 부품 번호까지 얻을려고 한다니, 속옷의 색깔이 뭐고 속옷의 브랜드명이 뭐고 이런 것까지 시시콜콜 물어보는 것과 뭔 차이인가요?


그리고 민감한 개인정보 수집한걸 외부인들에게 안털릴각오가 되어 있는지? 만약에 위의 내용의 정보들이 털리면 엄청난 재앙이 될수도 있습니다. (단말기Id, SIM Card정보등등이 털리면 남이 나로 행세하며 전화쓸 위험성 있음)


과도하게 민감한 개인정보를 수집하는 약관을 넣는다고 하니 이제 신한카드 안써야할듯 합니다 ㅎㄷㄷ
 

이제 쓸만한 신용카드 회사 어디있을까요?

국민카드, 롯데카드, 농협카드는 개인정보유출사태로 가고싶지 않고, 삼성카드는 삼성SDS 과천사옥 불타면서 BCP/DRP계획이 없는 걸 확인하였고, -_-;;

Buy me a coffeeBuy me a coffee


금융위원회에서 2014년 2월 17일 부터 2014년 5월 16일까지 개인정보를 유출한 카드3사(국민카드, 농협카드, 롯데카드)에 대하여 영업정지 및 "과태료 600만원" 처분결정하였다고 합니다.


아니 카드사의 개인정보 유출의 벌금부과가 "600만원" 정말인가요?

카드 3사의 개인정보건수를 1억건이라 잡고, 개인정보 건수당 벌금액을 계산을 해보니

6,000,000(만원) / 100,000,000(건) = 0.06원/건

개인정보 1건단 6전(錢)이라는 계산이 나옵니다.

어라 개인정보 1건이 원(圓,圜)단위가 아니라 원의 하위 단위인 전(錢)이라는 걸 보고 황당하네요.

1건에 1인이라고 가정하니, 정부가 생각하는 개인정보의 가격이 원단위가 아니다는 걸 알수 있ㅛ. 이야 정부 소속의 금융위원회의 발표에 어안이 벙벙합니다.


정부님, 카드회사의 과태료가 600만원이라 장난인건가요? -_-

정부나 금융회사나 한통속 같다는 생각이 들군요.

Buy me a coffeeBuy me a coffee

카드회사 임원들은 사임하고, 카드회사 및 은행직원들이 카드 재발급때문에 고생하는 가운데에, 카드회사의 개인 고객정보들을 유출한 KCB가 무사한걸 보면, 난 이해를 못하겠음.


역시나 금융기관이 KCB에 투자한 돈때문에(KCB가 직원관리 못하여 손해 입고 책임지고 손실을 물어주고 망해도 이상하지 않은판데) 살려주는건가? ㄱ-


KCB직원하나때문에 은행원, 카드회사 직원 그리고 TM영업하는 사람까지 불똥이 튀어 대다수의 직원들이 고생하는 것 같음.

Buy me a coffeeBuy me a coffee

KCB사 홈페이지에 19가의 대형금융기관들이 공동으로 출자하여 설립했다고 나오며, 주주구성이 다음과 같이 나와있습니다

여기서 한 KCB사의 직원이 마음만 먹으면 19개 금융기관의 개인정보 모두 쉽게 가져갈 위험성이 존재할수 있는 생각이 들면서 섬뜩하군요.

 그리고 금융기관에서 받은 개인정보는 금융 자회사에서 공유가 되어 있으니 한곳이 털리면 모든 곳이 털린다는 생각을 할수 있구요.

 

KCB사의 주주사 - 국내 19개 대형 금융회사들이 공동으로 출자해 설립한 회사.

 

 

KCB직원의 개인정보유출건을 보아하니 주민번호, 카드번호, 유효기간, 집주소, 회사주소, 직장명, 결제계좌번호 등등 민감한 정보들이 노출되었습니다. 예전에 옥션이나 네이트에서 터진 개인정보보다 질적으로 다른 건 "주민번호, 카드번호, 유효기간"이 포함되었기 때문에 누군가가 악의적으로 전화를 통한  물건 구매가 가능하다는 문제가 있습니다.

 

정보 유출이 되면 금융기관이 책임을 질것인가??? 전혀 아니올시다.

대한민국의 법은 개인과 금융기관간에 분쟁이 일어나면 개인보다는 금융기관에 편을 들어줍니다.개인에게 친절하지 않다는 거죠.

대한민국 민법에 보면 "자기 책임 원칙"인 "과실책임주의(過失責任主義)"이라는 것이 나옵니다.

자기의 과실(고의는 물론)에 대해서만 가해행위의 책임을 진다는 원칙. 손해배상책임의 발생에 대한 입법주의(立法主義)의 일종이며, 자기의 과실로 인정되지 않는 한 책임을 지지 않는다는 주의다.

라고 나와있으며 여기서 금융기관이 "자기"라 하면 금융기관의 과실이 인정되지 않은 한 개인이 금융기관에 대해 피해에 입은 것에 대하여 금융기관이 책임을 지지 않습니다.

예를 들어서 은행 돈이 개인 몰라 이체가 되면 개인이 공인인증서 관리 못하였고, 은행이 은행의 과실로 인정되지 않으니 책임을 절대 못진다라 하고 개인에게 책임을 돌립니다.

이걸 해명하려면 개인이 직접 소명을 해야하고... (결국은 개인은 금융사고 피해를 봐도 구제를 못한다는 결론이 나옴.)

 

번거롭더라도 개인정보가 유출된 국민카드, 농협, 롯데카드 사용자들은 신용카드 뿐만 아니라 체크카드 모두 재발급받으셔야 할겁니다. 안그러면 혹시 악의적인 해커가 사용자 몰래 물건을 구입하여 통장에 돈이 빠져나가고 나서야 알고 손해를 어떻게 다시 복구할수도 없음. 금융기관이 책임을 지지 않으니 그냥 손해 보는 일이 생길 위험성이 있습니다.

Buy me a coffeeBuy me a coffee

이번에 KCB직원의 부정으로 국민카드, 농협카드(NH카드), 롯데카드에 가입된 회원들의 정보들이 누출되었다고 한다.


제 개인정보는 이제 공공재가 되었군요. 국민카드나 농협카드,롯데카드 모두 체크카드로만 발급받은지라 다른사람들처럼 신용정보 모두가 털린건 아니지만(어느분의 트윗을 보면 연소득, 이용실적금액, 신용한도금액, 신용등급등등 정보 유출된 국민카드사, 농협카드사, 롯데카드사뿐만 아니라 다른 카드사[예를 들어, 신한카드, BC카드, 삼성카드, 현대카드 등등]에 등록된 신용정보까지 노출되었다는 소리도 있음)


이번에 개인정보 노출이된 국민카드, 농협카드의 경우는, 대한민국 국민들의 대다수가 많이 이용하는 국민은행, 농협의 계열사입니다.

위의 국민은행이나 농협에서 현금카드 대신, 현금 인출 기능 및 결제기능이 있는 계열사(국민카드, 농협카드)의  체크카드를 발급을 해줄테고, 그러면 해당 은행을 거래하는 사람들의 인적정보는 은행뿐만 아니라 카드사에까지 넘어가지요.

그리고 카드사는 신용평가사에게 정보를 넘기고 등등의 일을 하다보면 개인정보는 신용평가사까지 흘려가게 되는데, 어느 한곳에라도 노출되면 개인정보 및 개인의 금융 정보가 노출되는 문제가 생기는 겁니다.


금융감독당국은 대다수의 국민들의 개인정보가 누출된 사건에 대하여 국민카드, 농협, 롯데카드에 대하여 엄청난 징계를 내리고, KCB에 대해서는 영업정지를 내려야할텐데, 그런 거 없이 넘어가려고 하니 참 답답하네요.


집주소, 이메일 직장주소, 결제계좌등 개인정보 탈탈털리니 정말 기분나쁘군요. 국민은행이나 농협이나 제 주거래은행도 아니고 체크카드만 있다보니 체크카드를 없애야 할듯


그리고 국민카드, 농협카드의 정보유출이 왜 심각한지

만약 은행, 카드등의 비밀번호를 잊었을때 개인확인을 위해 묻는 정보(주민등록번호, 전화번호, 휴대폰번호, 결제계좌)가 털렸으니 아마 제3자가 그 사람인양 행세하여 다른 금융사나 온라인 서비스의 비밀번호 털릴 가능성이 있습니다.

국민 대다수가 국민은행, 농협을 사용하니 참 모든 국민의 개인정보가 외국으로 넘어갔을거라는 심증까지 들군요.


고작 사과와 서비스무료, 결제내역 SMS문자서비스 무료정도로 퉁치겠다는 카드사, 신용평가사의 대책을 보니 분통이 터집니다. 알량한 대책말고 이보다 더 책임을 져야한다고! 

거기에, 요즘은 결제내역 SMS문자 알림의 경우는 스마트폰의 푸쉬알림으로 대체되는 상황에 뭔 생색인감?

카드사나 신용평가사나 눈가리고 아웅하는 격이니깐.


ps. 개인정보중에 주민등록번호를 가져갔다면 모든 정보가 노출될거란 생각이 됨.

김영삼정부 시절때 금융실명제 실시하면서 주민등록번호가 개인정보를 확인하는데 중요한 수단인데다, 전산학중에서 데이터베이스를 배운 사람으로서 금융사들이 주민등록번호를 가지고 Primary Key를 가지고 조회를 할거라 생각되기에, 주민등록번호까지 털어가면 개인의 모든 정보들이 털려서 노출되었다는 생각이 들군요



국민카드의 개인정보누출 알림.


롯데카드의 개인정보누출 알림.




ps. 하상욱 시인의 "개인정보"라는 시 구절이 떠오르군요.


트위터에 돌아다니는 3개의 카드사의 도원결의 짤방도 ㄱ-


Buy me a coffeeBuy me a coffee

2012년 7월 29일

지인들께서 KT의 고객정보가 유출되었다는 소식을 알려주셨습니다.

그래서 올레(http://www.olleh.com/) 사이트에 들어가니 아래와 같이 "고객정보 유출 사실 공지" 창이 뜨더군요. 

KT 고객정보 유출 사실 공지


유출 사실 확인을 하니... 유출되었습니다 orz. 저도 개인정보가 유출된 KT 휴대폰 가입자 870만명 중 하나 인증했습니다. -_-


위의 팝업에서 정말 황당한 것이 있었습니다 "고객님의 정보는 유출되었으나 경찰에 의해 전량 회수조치 되었습니다."


KT 어디서 약을 팔려고? 사람을 희롱해도 유분수지.

파일을 여러군데서 복사하면 회수 할수 있을까요? 파일이 회수조치를 한다니... 일단 개인정보가 유출되면 인터넷에서 공개가 될것은 뻔할텐데요. 


KT가 "전량 회수조치"라고 말하니 상식적이지 않아 황당합니다. KT에서 이런 이상한 대응이라니 참 어이가 없습니다. 털리면 털렸다고 하면되지, "전량 회수조치"라고 말하니 정말 웃겨요.


이렇게 SHOW와 iPhone으로 SKT를 사악하게 만들고 트위터로 소통하여 이미지 쇄신하던 KT는 2G강제 종료, 그리고 위의 개인정보유출때문에 이미지가 LG U+보다 바닥이 된것 같음.


부친께서 예전에 KT자회사를 다녔었기 때문에 가족들이 집전화,인터넷, 휴대폰,와이브로 모두 KT로 쓰는데 KT휴대폰 쓰고 있는 부친, 여동생 모두 개인정보유출되었다고 합니다. ㅠㅠ

이번 약정만 끝나면 KT 전번을 착신전환 걸어넣고 현재 놀고 있는 1개의 SKT 회선로 쓸까봐요  


ps1. "빠름~ 빠름~ 빠름~ 고객정보 WARP 올레!"

ps2. 아래는 트윗에 올라온 KT Olleh 트위터.


Buy me a coffeeBuy me a coffee

+ Recent posts