경응대학의 정보 유출로 배우는 위기 관리와 변호사의 역할
부정 접근에 의한 정보 유출은 기업뿐만 아니라 교육 현장에서도 발생하고 있지만, 그 대응은 기업과는 약간 다른 것 같습니다.
특히 개인 정보에 대해서는 학생, 교직원 등이 중심이 되므로, 정보 유출 사건이 발생했을 경우의 정보 공개도 제한된 범위에 대해서만 이루어지는 경향이 있습니다.
그러나, 개인 정보 보호에 대해서는 기업이나 학교 모두 변함이 없으며, 정보 유출에 대한 위기 관리의 기본은 동일합니다.
그래서, 이번에는 부정 접근에 의한 개인 정보의 유출이라는 사건에 대한 위기 관리의 측면에서, 경응의료대학교 쇼난 후지사와 캠퍼스(이하, 경응SFC)의 정보 유출 사건에 대한 대응을 바탕으로 위기 관리 체계의 핵심을 설명하겠습니다.
慶應SFC의 정보 유출 사건 개요
慶應SFC에서 발생한 불법 접근에 의한 정보 유출 사건의 주요 내용은 다음과 같습니다.
- 유출 발견: 2020년 9월 29일 새벽에 강의 지원 시스템(SFC-SFS)※에 대한 불법 접근으로 인한 정보 유출 가능성이 확인되었습니다.
※SFC-SFS는 수강생에게 일괄 이메일을 보내는 기능, 수강생 명부 다운로드, 레포트 및 과제 등록, 제출 접수, 성적(평가) 등록, 강의 조사의 코멘트 입력 및 열람 등의 기능을 가진 시스템입니다. - 유출 원인: 시스템 위탁자 19명의 ID 및 비밀번호가 도난당해, 이를 제3자가 불법으로 이용하여 시스템에 침입했습니다. SFC-SFS의 취약점이 주요 원인으로 생각됩니다.
- 유출 범위: 쇼난 후지사와 캠퍼스가 관리하던 학생 및 교직원 등의 개인 정보
- 유출 내용: ‘성명’, ‘주소’, ‘계정명’, ‘이메일 주소’ 외에도 학생의 경우 ‘얼굴 사진’, ‘학번’, ‘학점 획득 정보’, ‘입학 연월일’ 등, 교직원의 경우 ‘교직원 번호’, ‘직위’, ‘프로필’, ‘개인 메일 데이터’ 등이 포함됩니다.
- 유출 건수: 정보 유출 가능성이 있는 건수는 약 33,000건입니다.
부정 접근 발견 및 초기 대응
9월 15일 17:45경, 경응SFC의 IT 부서에서 SFC-SFS에 대한 취약점 탐색이 이루어지고 있는 흔적을 확인하였습니다.
또한, 9월 28일 밤, SFC-SFS 시스템에 대한 의심스러운 접근을 감지하고 조사한 결과, 9월 29일 새벽에 부정 접근에 의한 정보 유출 가능성이 밝혀졌습니다.
경응SFC는 부정 접근의 전조인 취약점 탐색을 확인한 다음 날부터 다음의 초기 대응을 시작하였습니다.
- 모든 위탁자에게 비밀번호 변경 요청 (9월 16일, 9월 30일)
- 모든 인증 위치 및 인증 로그 등을 지속적으로 모니터링 (9월 16일부터 지속)
- 공용 계산 서버로의 로그인을 공개키 인증만으로 제한 (9월 16일)
- 취약점이 확인된 웹 서비스의 중단 및 취약점 부분의 수정【진행 중】(9월 16일 이후 순차적으로, SFC-SFS는 9월 29일)
- SFC-SFS의 시스템을 중단 (9월 29일)
경응SFC의 초기 대응에 대하여
부정 접근이 발견된 경우, 대책 본부를 설치하고 초기 대응에 나서는 것이 기본이지만, 이번 사건에서는 경응학술원 상임이사이자 최고 정보 책임자 겸 최고 정보 보안 책임자인 국령씨를 리더로 한 IT 부서가 대책 본부로서 기능하였습니다.
초기 대응에서 중요한 것은, 피해의 확대나 2차 피해의 발생을 방지하기 위해 ‘정보의 격리’, ‘네트워크의 차단’, ‘서비스의 중단’을 실시하는 것이지만, 경응SFC의 경우 시스템의 위탁자가 불특정 다수가 아닌 학생이나 교직원으로 제한되어 있어, 비밀번호 변경이나 로그인 방법의 제한 등을 우선시하고 있습니다.
그러나, 부정 접근의 전조를 확인한 시점에서 즉시 대응에 나선 것, 또한 정보 유출 가능성이 밝혀진 9월 29일에 SFC-SFS의 시스템을 중단한 것은 적절한 위기 관리 대응이라고 할 수 있습니다.
경응SFC의 초기 대응에 관해 궁금한 점은, 범죄인 부정 접근에 대해 증거 보존 조치를 실시한 후 감독 기관이나 경찰 등에 보고를 했는지 여부인데, 보도자료나 언론 매체 등에 기재가 없어 확인할 수 없습니다.
관계자에 대한 통지에 대하여
경응SFC의 학생이나 교직원에 대한 통지는 다음과 같이 업무 연락 메일의 형태로 이루어졌으며, 개인 정보의 유출에 언급한 것은 9월 30일의 메일이 처음으로 보입니다.
9월 29일, 경응SFC의 소속 직원에게 ‘중대한 문제’가 발생하여 SFC-SFS를 중단한다고 통지하였습니다.
9월 30일, 이 문제로 인해 ‘위탁자의 계정 정보’가 유출될 가능성이 있다고 하여 SFC-SFS의 모든 위탁자에게 비밀번호 변경을 요청하였습니다.
또한, 소속 직원에게, SFC-SFS의 중단으로 인해 수강생 선발이나 수강생에게의 연락을 예정대로 진행할 수 없어 일정 기간 휴강하게 된다고 통지하였습니다.
이 정보를 듣게 된 J-CAST 뉴스가 취재하여 같은 날 ‘경응SFC에서 수업 시스템에 중대한 문제, 가을 학기 시작이 1주일 늦어지는 이상 상황’이라는 제목의 기사에서 ‘위탁자의 계정 정보’의 유출이 공개되었습니다.
10월 1일, 경응SFC의 웹사이트에서 학생을 대상으로, 부정 접근의 가능성이 있어 SFC-SFS를 9월 29일에 중단하였으며, 이 영향으로 인해 10월 1일부터 7일까지 휴강하게 된다고 통지하였습니다.(※개인 정보 유출에 대해서는 기재 없음)
정보 유출 발견 후의 보도 자료
부정 접근에 의한 개인 정보 유출에 대해 처음 공개한 것은 11월 10일, 웹사이트에서 이루어졌습니다.
이번에, 쇼난 후지사와 캠퍼스의 정보 네트워크 시스템(SFC-CNS) 및 수업 지원 시스템(SFC-SFS)에서 어떠한 방법으로든 시스템 위탁자 19명(교직원)의 ID 및 비밀번호가 도난당하고, 이를 이용한 외부에서의 부정 접근과 수업 지원 시스템 (SFC-SFS)의 취약점을 이용한 공격으로 인해, 동 시스템에서 위탁자의 개인 정보가 유출된 가능성이 있음이 밝혀졌습니다. 이러한 상황이 발생하여 관계자 여러분께 불편과 걱정을 끼쳐 드린 것에 대해 깊이 사과드립니다. 또한, 현재 시점에서 2차 피해는 확인되지 않았습니다.
경응유교 “SFC-CNS 및 SFC-SFS로의 부정 접근에 의한 개인 정보 유출에 대해”[ja]
이 보도 자료에는 다음 사항에 대한 자세한 정보도 기재되어 있었습니다.
- 유출될 가능성이 있는 개인 정보의 내용
- 유출이 밝혀진 경위
- 유출이 발생한 원인
- 밝혀진 후의 대응
- 현재의 상황
- 재발 방지 대책
위 내용은, 정보 유출에 관한 공개 자료에 필요한 항목을 거의 포괄하고 있습니다.
경응 SFC의 보도 자료에 대해
보도 자료의 시기
원래라면, 처음에 경응 SFC가 스스로 공개해야 할 부분이지만, J-CAST 뉴스의 보도로부터 41일 후에 공개한 것은 늦었다고 말해야 합니다.
왜냐하면, 개인 정보의 유출에 있어서는, 2차 피해 등을 방지하기 위해 유출된 개인 정보의 본인에게 통지하는 것이 급선무이기 때문입니다.
그러나, 9월 30일의 비밀번호 변경 요청 시에 “위탁자의 계정 정보”의 구체적인 내용을 알려주고 있다면 문제가 없습니다.
사기나 불편 행위에 대한 주의 환기
정보 유출 발견 후의 보도 자료에서는, 발생한 정보 유출에 대해 공개를 하고, 개인 정보가 유출된 경우, 본인에게 그 사실을 알리고 사과함과 동시에, 사기나 불편 행위 등의 피해를 당하지 않도록 주의를 환기해야 합니다.
폐쇄된 캠퍼스 내의 정보도 외부 세계에 유출된 경우 악용될 가능성이 있으며, 본 사례에서도 사기나 불편 행위에 대한 주의 환기는 필요합니다.
위기 대응의 중심, 대책 본부
Keio SFC는 프레스 릴리스의 ‘재발 방지 대책’에서 대책 본부에 대해 다음과 같이 기술하고 있습니다.
Keio 대학교는 이번 불법 접근 사건을 계기로, 전교적으로 웹 애플리케이션 및 시스템의 보안 검사와 개선, 개인 정보 보호를 위한 취급 검토 등, 재발 방지를 위한 대책에 신속하게 대응하겠습니다. 또한, 2020년 11월 1일(2020년)에 학내에 CSIRT(정보 보안 사고 대응 팀)를 설치하고, 사이버 보안에 대한 종합적인 대응을 할 수 있는 조직 구축을 실시하며, 외부 전문 기관과도 협력하여, 전교적으로 보안 강화에 노력하겠습니다.
Keio 대학교 ‘SFC-CNS 및 SFC-SFS에 대한 불법 접근에 의한 개인 정보 유출에 대해'[ja]
이 사건의 초기 대응은 Keio SFC의 내부 조직이 그대로 대책 본부 역할을 수행한 것으로 보이지만, 2020년 11월 1일(2020년)에 설치한 ‘CSIRT’는 보안 강화와 앞으로 사고가 발생했을 때의 위기 대응의 중심이 될 대책 본부에 해당하는 조직입니다.
CSIRT의 구성원은 불명이지만, 시스템의 보안 대책뿐만 아니라, 대상 위탁자에게의 연락, 감독 기관이나 경찰 등에의 보고, 미디어 대응, 법적 책임의 검토 등을 동시에 진행해야 하므로, 일반적으로는 다음과 같은 외부의 제3자 기관이나 전문가의 참여가 필요합니다.
- 대형 소프트웨어 기업
- 대형 보안 전문 업체
- 사이버 보안에 대한 깊은 지식을 가진 외부 변호사
요약
이번과 같이 교육 현장에서 개인정보 유출이 발생한 경우라도, 적절한 ‘초기 대응’과 대책본부를 중심으로 한 ‘통보·보고·공표’ 그리고 그 후의 ‘보안 대책’은 중요합니다.
특히 속도가 요구되는 것은 초기 대응뿐만 아니라 경찰이나 관련 부처 등에 대한 통보·보고, 본인에 대한 통보(사과), 그리고 적절한 타이밍의 공표입니다.
그러나, 절차나 대처 방법을 잘못하면 손해배상 책임 등에 문제가 될 수 있으므로, 독자적으로 판단하는 것이 아니라 사이버 보안에 대한 지식이나 경험이 풍부한 변호사에게 사전에 상담하면서 진행하는 것을 추천합니다.
카프콤의 맬웨어에 의한 정보 유출 시의 위기 관리에 관심이 있는 분은, 기사에서 자세히 설명하고 있으니 함께 참고하시기 바랍니다.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
본 사무소의 대책 안내
모노리스 법률 사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률 사무소입니다. 본 사무소에서는 도쿄 증권 거래소 프라임 상장 기업부터 벤처 기업까지, 다양한 사건에 대한 법률 검토를 진행하고 있습니다. 아래 기사를 참조하십시오.
