카프콤의 정보 유출로 배우는 위기 관리와 변호사의 역할
2020년 11월에 발생한 캡콤의 정보 유출 사건은 맞춤형 랜섬웨어에 의한 것으로, 최대 39만 건의 개인 정보 유출이 발생했을 가능성이 있었습니다.
인시던트는 물론 발생하지 않는 것이 좋으며, 발생하지 않도록 체계를 갖추는 것이 우선 중요하지만, 그렇다고 해도 어떠한 체계를 갖추더라도 발생 확률을 완전히 0으로 만드는 것은 불가능합니다.
만일 이런 인시던트가 발생했을 경우, 그 직후부터 어떤 대책과 조사 등을 실시하고, 어떤 타이밍에서 어떻게 발표해야 할까요?
그래서 이 글에서는 ‘맬웨어에 의한 개인 정보 유출 발생이라는 인시던트’에 대한 위기 관리 측면에서, 캡콤의 정보 유출 사건을, 그 회사의 대응에서 적절한 위기 관리 체계를 배우기 위해 시간 순서대로 설명합니다.
※변호사는 자신이 변호사로서 실제로 관여한 사건에 대해, 변호사법상의 고도의 비밀 유지 의무를 지니고 있습니다. 이 글은 저희 사무소가 관여하지 않은 과거의 사건에 대해, 오직 일반 공개된 정보를 바탕으로, 변호사로서의 견해를 제시하는 것입니다.
사건 발생과 초기 대응
사건이 발생한 것이 확인된 것은 2020년 11월 2일입니다.
이 시점에서는, 회사 내 시스템에 대한 접속 장애가 확인되었고, 시스템의 차단과 피해 상황 파악에 착수하였습니다.
그리고 같은 날, 장애의 원인이 랜섬웨어 공격에 의한 네트워크 상의 장비에 대한 파일 암호화임이 밝혀졌습니다.
피해를 입은 단말기에서는 ‘Ragnar Locker’라는 이름을 가진 집단으로부터의 협박 메시지가 발견되었습니다.
이 시점에서 카프콤은, 오사카현 경찰에 신고하고, 외부 기업에 복구 지원 요청을 하였습니다.
사건 발생 시, 시스템의 복구를 서둘러야 하는 것은 기업의 사업 연속성을 위해 당연히 필요한 일입니다. 그러나, 랜섬웨어에 의한 공격이 확인된다면, 그것은 소위 말하는 불법 접근이며, ‘일본 불법 접근 금지법’에 의해 금지되어 있는 행위일 가능성이 매우 높다고 할 수 있습니다.
개인 정보를 포함한 기밀 정보의 유출이 확인되기 전 단계, 침입 경로가 특정되기 전 단계에서, 신속하게 경찰에 신고하는 것이 중요합니다.
정보 유출 발견 전의 위기 관리 홍보
그리고 사건 발생 다음날인 11월 4일, 카프콤은 첫 번째 보도 자료로서 ‘부정 접근에 의한 시스템 장애 발생에 관한 공지’를 발표했습니다.
이번 장애에 대해, 제3자로부터의 부정 접근이 있었음을 확인하였으며, 당일부터 내부 네트워크의 작동을 일부 중단하고 있습니다. 관계자 여러분께는 큰 불편을 끼치게 되어 깊이 사과드립니다. 또한, 현재 시점에서는 고객 정보 등의 유출은 확인되지 않았습니다.
부정 접근에 의한 시스템 장애 발생에 관한 공지 [ja]
이 시점에서는 ‘부정 접근’에 의한 ‘시스템 장애 발생’이며, 정보 유출은 아직 발견되지 않았습니다.
정보 유출 발견 후의 보도자료
유출 가능성이 있는 개인정보의 건수 등
정보 유출이 발견된 것은 11월 12일입니다.
9건의 개인정보와 일부 기업 정보의 유출이 확인되었습니다.
다음날, 카프콤은 대형 보안 전문 기업에 원인 규명 조사를 제안하고, 11월 16일에 정보 유출이 확인되었다는 내용의 보도자료를 공개하였습니다.
이 시점에서는,
- 유출이 확인된 정보
- 유출 가능성이 있는 정보
를 구분하고, 또한 각각에 대해,
- 개인정보 (고객 및 거래처 등)
- 개인정보 (직원 및 관계자)
- 기업 정보 (매출 정보, 거래처 정보, 영업 자료, 개발 자료 등)
를 구분하고, 대략적인 건수를 게재하고 있습니다.
이 시점에서 “최대 약 35만 건의 고객 개인정보에 대해 유출 가능성이 있다”는 내용이 공개되었습니다.
신용카드 정보의 유출 여부 및 대응 등
또한, 그와 동시에
다만, 저희 회사는 인터넷 판매 등에서의 결제는 모두 외부에 위탁하고 있으므로, 신용카드 정보를 보유하고 있지 않으며, 신용카드 정보의 유출은 없습니다.
불법 접근에 의한 정보 유출에 관한 공지 및 사과[ja]
라고, 신용카드 정보의 유출 여부에 대해 언급하고, 또한,
- 개인정보 유출이 확인된 분들 및 그 가능성이 있는 분들에 대한 대응
- 발견과 대응의 과정
- 앞으로의 대응
등의 정보를 공개하고 있습니다.
외부 변호사 등의 지도·조언 등
그리고 보도자료에서는,
대형 소프트웨어 기업, 대형 보안 전문 업체, 사이버 보안에 대한 깊은 지식을 가진 외부 변호사에게 상황을 보고하고, 지도·조언을 받는 체제를 마련하였습니다. 정보 유출이 확인된 분, 관계자에게는 연락을 시작하였으며, 그 외 도난당했을 가능성이 있는 정보에 대해서는 계속해서 조사를 이어갈 것입니다.
불법 접근에 의한 정보 유출에 관한 공지 및 사과[ja]
라는 내용도 명시하였습니다.
또한, “개인정보에 관한 문의처” “카프콤 정보 유출 전용 문의처”로서, “게임 위탁자 문의처” “종합 문의처”가, 모두 무료 전화로 준비되었습니다.
그리고, 적어도 일부 정보의 유출이 발견된 시점부터, 정보 유출이 있었다는 내용의 보도자료를 공개하기까지 4일이 걸렸습니다.
이는, 위에서 언급한 것처럼 어느 정도 상세한 정보의 검증과, 앞으로의 대응 등에 관한 의사결정을 하기 위해 필요한 기간이었다고 생각됩니다.
개인정보 유출과 위기관리
‘시스템 장애’에 대한 첫 보고와 달리, ‘최대 35만 건의 고객 개인정보가 유출되었을 가능성이 있다’는 두 번째 보고는 여러 매체에서 다루어집니다.
카프콤은 제3자로부터의 맞춤형 랜섬웨어에 의한 불법 접근 공격을 받아, 회사 그룹이 보유하고 있는 개인정보가 유출되었다. 11월 16일 현재로서 유출 가능성이 있는 정보는 고객 및 거래처를 포함하여 최대 약 35만 건에 이른다. 영업 자료나 개발 자료 등도 유출되었을 가능성이 있다.
카프콤, 불법 접근으로 최대 35만 건의 개인정보 유출 ‘게임 플레이에는 지장 없음’ – BCN+R[ja]
그러나, 보도자료 발표 시점에 ‘발견 및 대응 과정’, ‘향후 대응’ 등의 정보도 공개되었기 때문에, 위의 기사도 ‘향후에는 경찰 당국과의 협력을 추구하고, 외부 전문가에 의한 시스템 보안에 관한 자문 기구를 신설하여 재발 방지에 노력할 태도. 회사 게임을 플레이하기 위한 인터넷 연결이나 회사 홈페이지 등에 접속하여 위탁자나 외부에 피해가 확대되는 것은 없다고 밝혔다. 또한, 개인정보가 유출되었을 가능성이 있는 위탁자에 대해서는, 예상치 못한 우편물이 도착할 가능성이나, 의심스러운 연락이 들어올 가능성이 있으므로 주의하라고 당부하였다.’라는 문장으로 마무리되어 있습니다.
개인정보 유출이 발견된 후의 보도자료에서는, 위와 같이 ‘발견 및 대응 과정’, ‘향후 대응’ 등을 포함한, 어느 정도 정리된 정보를 공개하는 것이 중요하다고 할 수 있습니다.
그리고, 개인정보 유출이 발견된 시점에서,
- 대형 소프트웨어 기업
- 대형 보안 전문 업체
- 사이버 보안에 대한 깊은 지식을 가진 외부 변호사
와 같은 외부 전문가들로 구성된 팀을 구성하고, 정보 유출이 확인된 고객 등에게 연락하고, 위기관리 홍보 등을, 원인 규명 등의 순수한 IT적 대책과 병행하여 진행하는 것이 중요하다고 할 수 있습니다.
또한, 상장 기업의 경우, 이 위기관리 홍보의 일환으로, 주주 등에 대한 설명도 필요합니다.
채용 지원자 정보 유출 가능성
또한, 공개된 보도자료에서 ‘유출 가능성이 있는 정보’와 ‘개인 정보(고객 및 거래처 등) 최대 약 35만 건’ 중 ‘채용 지원자 정보(약 12만 5천 건)’이라는 항목이 있음에 따라, 캡콤이 자사 채용 사이트에서 파기를 진행한다고 기재한 것과 관련하여, SNS 등에서 의문의 목소리가 높아졌습니다.
캡콤은 자사 채용 사이트에서 “채용 선발 결과, 채용에 이르지 못한 분, 채용을 거절한 분의 지원서 등은 선발 후, 당사에서 책임을 지고 파기하겠다”고 기재하였습니다. 원래 파기되어야 할 개인 정보가 파기되지 않았다는 사실에 대해, 트위터에서는 해당 회사의 대응을 의문시하는 목소리가 높아졌습니다. 캡콤은 “지원자의 이력서 등을 데이터화하여 일정 기간 보관하고 있었다”고 설명하였습니다. “데이터화에 대한 언급이 없어, 표현이 부족하여 오해가 생겼다. 사과드린다”고 사과하였습니다. 보관 이유에 대해서는 “지원자 중에는 여러 번 지원하는 분도 있다. 과거의 지원 이력을 원활하게 확인하기 위함이었다”고 해명하였습니다. 지원자의 데이터를 일률적으로 보관하고 있었는지에 대해서는 “현재로서는 불명”이라고 밝혔습니다.
캡콤, 불합격자의 지원서를 파기하지 않아 채용 페이지에는 ‘책임을 지고 파기’라고 기재하였으나, 사이버 공격으로 정보 유출 가능성 – ITmedia NEWS[ja]
이러한 의문의 목소리가 높아지는 것에 대해, 캡콤이 사전에 예측했는지는 불명확하지만, ‘원래 존재하지 않아야 하는(그렇게 생각되어도 어쩔 수 없는) 정보’가 회사 내에 존재하고, 그것이 유출될 가능성이 있다면, 사전에 그 문제에 대해 검토한 후 보도자료를 발표하는 것이 더 좋을 것으로 보입니다.
변호사를 포함한 보안 감독 위원회 설립
세 번째 보도 자료 공개
더욱이, 카프콤은 12월 21일, 외부 전문가에 의한 시스템 보안에 관한 자문 기구로서, ‘보안 감독 위원회’의 설립을 위한 준비 회의를 개최하였습니다.
다음 해인 2021년 1월 12일에는 ‘불법 접근에 의한 정보 유출에 대한 공지와 사과【제3보】’라는 제목의 세 번째 보도 자료를 공개하였고,
새로이 16,406명의 유출이 확인되어, 본 사건 발생 이후의 누적은 16,415명이 되었습니다. 또한, 유출될 가능성이 있는 고객 및 거래처 등 외부의 개인 정보는, 최대 약 39만명(이전보다 약 4만명 증가)임이 확인되었습니다.
라고, 조사의 진행에 따라 업데이트된 정보가 게재되어 있습니다. 더욱이, 신용카드 정보가 유출되지 않았음을 덧붙여,
저희 게임을 플레이하기 위한 인터넷 연결이나 다운로드를 통한 구매는, 원래부터 이번 공격을 받은 시스템을 사용하지 않고, 외부 위탁 또는 외부 서버를 별도로 이용하고 있으며, 현재도 동일합니다. 이 때문에, 저희 게임을 플레이하기 위한 인터넷 연결이나 다운로드를 통한 구매는, 이번 저희 시스템에 대한 사이버 공격과 관련이 없으며, 고객에게 피해가 미치는 일은 없습니다.
불법 접근에 의한 정보 유출에 대한 공지와 사과【제3보】 | 카프콤 주식회사 [ja]
라는 기재도 이루어졌습니다.
채용 지원자의 개인 정보 유출 가능성에 대해
또한, 이번에 ‘새로이 유출 가능성을 확인한 정보’로서, 위에서 언급한 ‘채용 지원자 약 5만 8천명’의 개인 정보, 구체적으로는 ‘성명·주소·전화번호·이메일 주소 등 중 1개 이상’의 유출 가능성이 공개되었습니다.
이 점에 대해서는,
지원자 정보에 대해서는, 회사에 대한 사이버 공격과 관련하여, 선발 후에도 정보를 파기하지 않고 보관하고 있었던 사실이 11월에 밝혀졌습니다. 채용 사이트의 ‘개인 정보 처리에 대해’에서는 처음에 ‘선발 후, 회사에서 책임을 지고 파기하겠습니다’라고 기재하였습니다. 그 후, 20년 12월에 ‘재지원을 받아들이는 관계로, 이전의 지원을 원활하게 확인하기 등의 사용 목적으로, 지원 자료 데이터에 대해서는, 제출받은 종이 매체를 데이터화한 것을 일정 기간 보관할 수 있습니다’라는 문구를 추가하였습니다. 회사에 따르면, ‘지원자의 개인 정보는 현재도 회사 내 시스템에 보관하고 있으며, 불법 접근 전과 운영은 거의 변하지 않았습니다.
카프콤, 1.6만명의 개인 정보 유출을 확인하다. 새로이 5.8만명분 유출 가능성도 밝혀져. 20년 11월의 사이버 공격에서 – ITmedia NEWS[ja]
라는 보도가 나왔습니다.
조사 결과를 바탕으로 한 위기 관리 홍보
네 번째 프레스 릴리즈 공개
이후, 캡콤은 1월 18일에 제1차 보안 감독 위원회를 개최하고, 2월 25일에 제2차 보안 감독 위원회를 개최하고, 3월 26일에 제3차 보안 감독 위원회를 개최하는 등, 매달 보안 감독 위원회를 개최하였습니다. 또한, 3월 31일에는 대형 보안 전문 기업으로부터 조사 보고서를, 대형 소프트웨어 기업으로부터 보고서를 받았습니다.
이를 바탕으로, 4월 13일에 ‘부정 접근에 관한 조사 결과 보고【제4보】’라는 네 번째 프레스 릴리즈를 공개하였습니다.
이 중에서, 상세한 ‘대응의 경위’, ‘피해의 원인 및 영향 범위’, ‘재발 방지를 위한 보안 강화 대책’에 대해, 위의 보고서 등을 바탕으로 한 상세한 기술적 설명을 진행하였고, 또한, 조직적 대책으로서, 사이버 보안 및 개인 정보 보호 법제의 전문가인 변호사 1명을 포함한 보안 감독 위원회를 출범시킨 것 등을 언급하였습니다.
목돈에 관한 보도와 대응
그 사이, 3월 1일에는 위에서 언급한 사이버 범죄 집단 ‘Ragnar Locker’가 캡콤에 대해 약 115억 원의 목돈을 요구한 보도가 있었습니다.
사이버 범죄 집단 ‘Ragnar Locker’가 자신의 웹사이트에서 기업으로부터 훔친 데이터라고 주장하는 파일을 공개하고, 목돈으로서 비트코인 1100만 달러(약 115억 원)를 요구하였지만, 캡콤 측은 현재 시점에서 지불을 거부하고 있다.
캡콤은 115억 원 지불 거부! 랜섬웨어 피해에도 목돈은 지불하지 않아야 하는 이유 | 텔레워크 시대의 보안 대책 | 다이아몬드 온라인[ja]
이에 대해, 위의 네 번째 프레스 릴리즈에서는 목돈에 대해,
목돈 금액에 관한 인식에 대해
부정 접근에 관한 조사 결과 보고【제4보】 | 캡콤 주식회사[ja]
랜섬웨어에 감염된 기기 상에는 공격자로부터의 메시지 파일이 남아 있었고, 공격자와의 협상을 위한 연락을 요구받은 것은 사실이지만, 해당 파일에는 목돈 금액의 기재는 없었습니다. 이미 보고된 바와 같이, 우리 회사는 경찰과 상의한 후, 공격자와의 협상을 하지 않기로 하였으므로, 실제로는, 전혀 연락도 취하지 않았기 때문에(2020년 11월 16일 발표의 프레스 릴리즈 참조), 우리 회사에서는 금액을 확실히 알고 있지 않습니다.
라는 선언을 공개하였습니다. 위의 보도 등에서 ‘115억 원’이라는 구체적인 금액이 나온 것에 대한 대응으로 보입니다.
관련 사이트 등에서의 릴리즈
또한 캡콤은, 같은 날, 자사의 코퍼레이트 사이트 외의 사이트인, ‘CAPCOM: 쉐이도루 격투가 연구소'(스트리트 파이터 5 관련 사이트)나, ‘CAPCOM ONLINE GAMES’에서도,
【계속 보도】그룹 시스템의 장애에 관한 공지
공지 상세 | Capcom Online Games(캡콤 온라인 게임즈)[ja]
평소에 ‘캡콤 온라인 게임즈(COG)’를 이용해 주셔서 진심으로 감사드립니다. 2020년 11월 2일 새벽부터의 우리 그룹 시스템에 대한 제3자로부터의 부정 접근에 의한 시스템 장애에 대해, 최신 정보를 공개하였습니다. 상세한 내용은 여기를 확인해 주십시오.
와 같은 페이지를 공개하였습니다.
이번 정보 유출은, 초기 단계에서 밝혀진 바와 같이, ‘외부 위탁 또는 외부 서버를 별도로 이용’하는 것으로, ‘게임을 플레이하기 위한 인터넷 연결이나 다운로드를 통한 구매에 대해서는, 이번 우리 회사 시스템에 대한 사이버 공격과 관련이 없으며, 고객에게 피해가 미치는 것은’ 없다는 것이 밝혀진 바입니다만,
조사 결과를 보고하는 타이밍에서, 위탁자에게 불안 등을 주지 않기 위해, 다시 각 사이트 내에서 그 내용의 릴리즈를 공개한 것으로 생각됩니다.
요약
이처럼, 대규모 개인정보 유출 사건이 발생한 경우에는,
- 사건 발생 즉시 경찰에 신고
- ‘사이버 보안 전문 외부 변호사’ 등에 상황을 보고하고 지도 및 조언을 받을 수 있는 체계 구축
- 위의 팀에 의한 위기 관리 홍보
그리고 일정 정보가 모이기 시작한 단계에서는,
- 변호사를 포함한 보안 감독 위원회 구성
등의 위기 관리를 신속하고 조직적으로 수행하는 것이 중요하다고 말할 수 있습니다.
