[뉴스토마토 서영준기자] 앞으로 개인정보 유출 사고가 발생하면 사업자들은 신속대응팀을 구성해 운영해야 한다.
방송통신위원회는 31일 개인정보 유출 사고 발생 시 피해를 최소화하기 위해 사업자가 준수해야 할 사항을 담은 '개인정보 유출 대응 매뉴얼'을 발표했다. 메뉴얼은 지난 5월 개인정보가 유출된 인터파크 사례를 통해 발견한 취약점을 보완하고, 개인정보 보호의 필요성을 상기시키기 위해 마련됐다.
메뉴얼에 따르면 우선 개인정보 유출 사실을 알게 된 때에는 신속히 최고경영자(CEO)에게 보고하고, 신속대응팀을 구성해야 한다. 이를 바탕으로 추가 유출과 이용자 피해 발생 방지를 위한 조치를 취해야 한다. 이후 유출 원인을 신속히 파악해 경로별 추가 유출 방지를 위한 조치를 시행해야 한다. 인터파크의 사례처럼 해킹에 의해 개인정보가 유출된 경우에는 추가 유출 방지를 위해 시스템 일시정지, 비밀번호 변경 등 상황에 따른 긴급조치도 뒤따른다.
다음으로 해커 등 유출자 검거와 유출된 개인정보 회수를 위해 경찰청에 범죄수사를 요청하고, 주무부처인 미래창조과학부에 침해사고를 신고해야 한다. 이와 함께 방통위에 24시간 이내에 확인된 사항을 중심으로 신고하고, 이용자에게 통지해야 한다. 통지는 모든 이용자가 유출 여부에 대해 실제 확인이 가능하도록 이용빈도가 높은 방법을 사용해야 한다.
아울러 이용자 피해구제와 재발방지 대책을 마련해야 한다. 최성준 방통위원장은 "개인정보 유출사고가 발생한 경우에는 무엇보다 신속하게 이용자에게 알리고 관계기관에 신고해, 추가 피해를 막는 것이 중요하다"며 "사업자마다 자체 상황에 맞는 매뉴얼을 마련하도록 해 향후 유사사고 발생 시 신속히 대응할 수 있도록 개선해 나가겠다"고 말했다.
한편, 지난 5월 회원 개인정보가 유출된 인터파크에 대한 해킹 방식은 지능형 지속 위협(APT) 공격인 것으로 확인됐다. 민관합동조사단에 따르면 해커는 스피어피싱으로 인터파크 직원의 PC에 악성코드를 감염시키고, 다른 직원들의 PC로까지 악성코드를 확산시켰다. 이후 인터파크 데이터베이스(DB) 서버에 접근이 가능한 개인정보취급자 PC의 제어권을 획득해 개인정보를 탈취한 것으로 드러났다.
개인정보 유출 대응 절차.그래픽/방송통신위원회
서영준 기자 wind0901@etomato.com