65만 건의 정보 유출, 동건 코포 사례에서 배우는 위기 관리와 변호사의 역할
2005년 4월 1일(헤이세이 17년)에 일본 개인정보보호법(Japanese Personal Information Protection Law)이 전면 시행되었고, 개인정보를 다루는 사업자들은 안전관리조치 의무를 이행하고 있지만, 개인정보 유출 사건은 계속해서 발생하고 있습니다.
정보 유출 사건이 발생했을 때 특히 중요한 것은 그에 대한 대응 절차와 속도입니다. 특히 정보보안 전문 스태프가 없는 중소기업에서는 어떻게 대응해야 할지 바로 판단하기 어려운 경우도 있을 수 있습니다.
그래서 이번에는 동건 코퍼레이션(Touken Corporation)의 정보 유출 사건에 대한 회사의 대응을 바탕으로, 정보 유출에 대한 위기관리 체제를 설명하겠습니다.
정보 유출 개요
도우켄 코퍼레이션에서 발생한 부정 접근에 의한 정보 유출의 주요 내용은 다음과 같습니다.
- 발생: 2020년 8월 20일부터 9월 12일까지의 24일간
- 발견: 2020년 10월 20일
- 원인: 그룹 홈페이지에서 다양한 위탁자 정보를 보관하고 있던 서버가 제3자에 의한 부정 접근을 받은 것이 원인
- 대상: 그룹 회사 사이트에 문의한 사람들, 회원, 다양한 캠페인에 응모한 사람들
- 정보: ‘이메일 주소’, ‘성명’, ‘주소’, ‘전화번호’, ‘비밀번호’, ‘성별’, ‘생년월일’ 등
- 건수: 정보 유출 가능성이 있는 건은 총 657,096 건의 개인 정보
부정 접근 발견과 초기 대응
2020년 10월 20일, 동건 코퍼레이션은 웹사이트의 정기 검사를 진행하는 도중 자사의 운영 사이트 ‘나스랙 키친’에 대한 부정 접근을 발견하고, 다음의 초기 대응을 취했습니다.
- ‘나스랙 키친’을 폐쇄하고 해당 사이트에서의 서비스 제공 등을 중단하는 긴급 보안 대응을 실시.
- ‘정보 보안 대책 본부’를 설치하고 외부의 제3자 기관에 상담.
- 11월 11일까지 그룹 전체의 웹사이트를 조사하고, 임시적인 취약점의 수정 대응을 동시에 진행하며, 최대 유출 건수 및 항목을 확정.
초기 대응의 포인트
부정 접근에 의한 정보 유출의 위험이 확인된 경우, 즉시 다음의 대응을 실시하여 피해의 확대, 이차 피해의 발생, 재발을 방지해야 합니다.
- 사실 관계의 확인(부정 접근의 원인, 경로 등)
- 부정 접근을 받은 장비나 사이트의 중단
- 부정 접근을 받은 장비나 사이트의 네트워크에서의 분리
이때 주의해야 할 점은, 무분별한 조작을 하지 않고 시스템에 남아 있는 증거를 지우지 않도록 증거 보존 조치를 취하는 것입니다.
정보 유출 발각 후의 보도 자료
첫 공개는 2020년 11월 17일에 동건 코퍼레이션의 홈페이지에서 이루어졌습니다.
공개 내용은 불법 접근의 개요와 앞으로의 대책 등 외에도, ‘불법 접근에 의한 정보 유출 사건에 관한 Q&A’라는 형태로 필요한 정보가 상당히 세밀하게 기술되었습니다.
동건 코퍼레이션 주식회사 및 당사 그룹 회사(이하, 당사 그룹)는, 당사 그룹의 네트워크가 제3자에 의한 불법 접근을 받아, 당사 그룹이 운영하는 홈메이트에 대한 문의, 그룹 회사의 회원 정보 및 각종 캠페인에 대한 응모자 정보 등의 개인 정보가 외부로 유출될 가능성이 있는 것을 2020년 10월 20일에 확인하였습니다.
위의 웹 페이지에 링크된, ‘불법 접근에 의한 정보 유출 사건에 관한 Q&A'[ja]에서는 다음과 같은 내용이 포함되어 있습니다.
유출 정보의 내용에 대해
Q 이번에 유출된 정보는 무엇인가요?
A 당사가 운영하는 그룹 회사를 포함한 모든 사이트에서 ‘이름’, ‘주소’, ‘전화번호’, ‘이메일 주소’, 그리고 ‘비밀번호’가 유출되었다고 생각됩니다.
Q 신용카드의 정보는 유출되었나요?
A 그룹 회사를 포함한 당사가 운영하는 사이트에서는 신용카드의 카드 번호나 마이넘버 등 개인 식별 번호와 같은 정보는 전혀 보유하고 있지 않으므로, 유출의 위험은 없습니다.
유출 정보에 관한 설명에서는, ①유출 가능성이 있는 정보와 ②유출 위험이 없는 정보를 구분하여 구체적으로 명시함으로써, 불필요한 불안·혼란을 피할 수 있습니다.
앞으로의 대책에 대해
Q 동건의 그룹 회사를 포함한 사이트를 앞으로도 계속 이용해도 괜찮을까요?
A 그룹 회사를 포함한 당사가 운영하는 모든 사이트에 대해, 현재, 동일한 불법 접근에 대한 보안 강화는 완료되었습니다.
Q 앞으로 어떤 정보 관리를 하실 예정인가요?
A 앞으로는, 필요에 따라 제3자의 조사 기관에 의한 체크를 받는 동시에, 만일 사이트에 취약점 등이 발견되었을 경우에는 즉시 수정하고, 더욱 엄격한 정보 관리에 노력하겠습니다.
앞으로의 대책에서는, 위탁자가 이용하던 사이트의 보안 대응, 재이용의 가능 여부, 그리고 앞으로의 정보 관리 체계에 대해 세심하게 설명하는 것이 중요합니다.
손해 배상 등의 Q&A
Q 정보 유출의 피해를 입은 사람에게 사과금이나 미화료 등이 지급되나요?
A 이번 불법 접근에 의해 유출된 정보로 판단하여, 사과금이나 미화료 등은 지급할 예정이 없습니다. 그러나, 이번 정보 유출로 인해 고객에게 금전적인 피해 등이 발생하고, 구체적인 증거를 제시하는 경우에는, 당사의 ‘개인 정보 상담 창구’로 상담해 주시기 바랍니다.
Q 기억하지 못하는 출금이 있었습니다. 배상해 주실 수 있나요?
A 고객님이 보유하고 있는 계좌에서, 기억하지 못하는 출금이 이루어졌을 경우에는, 고객님께서 직접, 출금을 한 회사에 문의해 주시기 바랍니다. 또한, 이번 정보 유출이 원인으로, 기억하지 못하는 출금에 연결된 것이 확인된 경우에는, 번거로우시겠지만, 당사 ‘개인 정보 상담 창구’로 알려주시기 바랍니다.
사과금·미화료에 대해서는 지급하지 않지만, 정보 유출이 원인으로 금전적인 피해가 발생한 경우의 손해 배상에 대해서는 개별 상담하고, 기업의 방침을 명확하게 하고 있습니다.
의문이 남는 첫 보도 자료의 타이밍
기업의 위기 관리로서는, ‘피해의 확대’, ‘2차 피해의 발생’, ‘재발 방지’를 우선적으로 고려해야 합니다.
그러므로, 정보 유출이 발각된 경우에는 초기 대응을 한 후에, 가능한 한 빨리 관계자에게 알리는 것이 중요합니다.
동건 코퍼레이션의 Q&A는, 넓은 범위에 걸쳐 예상되는 질문에 세심하게 답변하고 있으며, 사전에 변호사 등 전문가와 철저하게 논의하여 작성한 것으로 보입니다. 그러나, 불법 접근의 발각에서 약 1개월 후의 공개에는 의문이 남습니다.
확실히 기업으로서는 조사나 대책을 실시한 후에 공개하고 싶은 부분이지만, 다음의 4점은 첫 보도로서 더욱 빠른 시기에 공개해야 하지 않았을까요.
- 정보 유출의 발각과 예상되는 대상자
- 유출된 개인 정보의 내용
- 카드 번호 등의 신용 정보의 유출 가능성이 없다는 것
- 앞으로의 체제 및 일정
- 문의 창구
알림·보고·공표의 핵심 사항
정보가 유출되었을 때에는, 그 원인이나 정보의 내용에 따라 위탁자나 거래처 등에게 알림, 감독 기관이나 경찰 등에게 보고, 홈페이지나 언론 등을 통한 공표를 검토해야 합니다.
범죄성이 있는 경우
불법 접근에 대해 범죄 가능성이 있는 경우에는 사실 관계의 조사 및 증거 보존 조치를 취한 후, 신속하게 경찰에 보고해야 합니다.
토켄 코포레이션의 경우, 그룹 전체의 웹사이트 조사가 완료된 다음날에 관할 기관인 일본 국토교통성과 아이치현 경찰청 등에 피해 보고를 하였습니다.
개인 신용 정보의 유출 가능성이 있는 경우
마이넘버, 신용카드 번호, 은행 계좌, ID·비밀번호 등의 유출 가능성이 있는 경우에는, 신속하게 본인에게 알리고 이들의 중단 등을 촉구하여 이차 피해를 방지해야 합니다.
규모나 영향 범위가 큰 경우, 또는 모든 관계자에게 개별 알림이 어려운 경우
홈페이지에서의 정보 공개나 기자 발표 등을 통해 공표를 합니다. 그러나, 공표로 인해 피해 확대를 초래할 가능성이 있는 경우에는, 공표의 시기나 대상자 등을 고려하여 판단해야 합니다.
또한, 공표할 때에는 투명성을 확보하고 가능한 한 사실을 공개하는 것이, 기업의 신뢰를 얻는 데 도움이 되며 피해 확대 방지나 유사 사고의 예방에도 도움이 됩니다.
두 번째 보도 자료 공개
동건 코퍼레이션은 2021년(서기 2021년) 2월 9일에 개인 정보 유출에 관한 두 번째 보고서를 홈페이지에 공개하고, 유출 항목과 유출 건수를 수정하였습니다.
제3자 기관에 의한 포렌식 조사를 통해 유출 항목을 재조사한 결과, 일부 차이점이 확인되었으므로, 첨부파일 1 ‘사이트 및 서비스별 항목’에서 확인하실 수 있도록 부탁드립니다. (중략) 또한 유출된 건수는 최대 657,096건에서 최대 655,488건으로 변경되었습니다.
내용은 위의 수정 외에는 스팸 메일·의심스러운 메일에 대한 대응 방법 등이 추가된 정도로, 기본적인 내용은 첫 번째 보도 자료와 거의 같았으며, 이번 공개가 마지막이었습니다.
위기 대응의 중심, 대책 본부
동건 코퍼레이션은 부정 접근이 발견된 후 ‘정보 보안 본부’를 설치하고 외부의 제3자 기관, 경찰과도 협력하여 재발 방지에 힘쓰고 있습니다.
이 조직의 구성은 불명확하지만, 시스템의 보안 대책뿐만 아니라 대상 위탁자와의 연락, 미디어 대응, 주주 대응, 법적 책임 검토 등을 동시에 진행해야 하므로, 일반적으로는 다음과 같은 외부의 제3자 기관이나 전문가의 참여가 필요합니다.
- 대형 소프트웨어 기업
- 대형 보안 전문 업체
- 사이버 보안에 대한 깊은 지식을 가진 외부 변호사
요약
이번처럼 65만 건을 넘는 대규모 개인정보 유출이 발생한 경우, ‘초기 대응’과 대책본부를 중심으로 한 ‘통보·보고·공표’와 ‘보안 대책’이 중요해집니다.
특히 속도가 요구되는 것은 초기 대응뿐만 아니라 경찰이나 관련 부처 등에 대한 통보·보고와 관계자에 대한 공표(보도자료)입니다.
그러나, 대처 방법을 잘못 선택한 경우에는 손해배상 책임 등에 문제가 될 수 있으므로, 독자적으로 판단하기보다는 사이버 보안에 대한 지식과 경험이 풍부한 변호사에게 사전에 상담하면서 진행하는 것을 권장합니다.
카프콤의 악성 소프트웨어에 의한 정보 유출 시의 위기 관리에 관심이 있는 분은, 기사에서 자세히 설명하고 있으니 함께 참고하시기 바랍니다.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
당사의 대책 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 당사에서는 도쿄증권거래소 프라임 상장기업부터 벤처기업까지, 다양한 사건에 대한 계약서 작성 및 검토를 진행하고 있습니다. 만약 어려움이 있다면, 아래 기사를 참조해 주세요.
