로고

한국 CPO 포럼
회원가입 로그인
  • 뉴스 및 공지
  • News Letter
  • 뉴스 및 공지

    News Letter

    Weekly Privacy MagaZine

    한국CPO포럼 에서 매주 회원 여러분들게 보내드리는
    개인정보보호
    뉴스레터 입니다.  


    [VOL.399] 한·미·일 등 7개국, 새 개인정보 유통망 합의

    페이지 정보

    profile_image
    작성자 사무국
    작성일Date 22-05-24 19:30

    본문

    한·미·일을 비롯한 7개국이 APEC의 기존
    63232_1645760637.png
    22년 5월 3주   <VOL 399>
    63232_1644987697.png
    이번 주 PICK
    ⚡ 한·미·일 등 7개국, 새 개인정보 유통망 합의
    ⚡ 북한에 IP 넘기고 해킹 시도한 일당, 간첩 협의로 기소
    63232_1644987697.png
    한·미·일 등 7개국, 새 개인정보 유통망 합의
    APEC서 독립 '글로벌 CBPR' 만들기로

    한국, 미국, 일본을 비롯한 7개국이 아시아-태평양 경제 협력체(APEC)의 기존 '국경 간 프라이버시 규칙'(CBPR)에서 독립해 별도의 '글로벌 CBPR'을 만드는데 합의했다고 해요. APEC을 넘어 글로벌 표준 시스템으로 확대하는 것을 목표로 한다고 하는데요, CBPR이란 무엇일까요?

    CBPR이 뭐야?
    CBPR은 Cross Border Privacy Rules의 줄임말로 2011년 아시아-태평양 경제 협력체 'APEC' 회원국이 공동으로 개발한 개인정보보호 자율인증체계예요. 최소한의 개인정보 보호원칙을 기반으로 회원국 간 신뢰할 수 있는 개인정보 이전체계를 마련해 아시아-태평양 권역 내 디지털 경제 활성화를 도모하기 위해 만들어졌어요. 인증을 받으면 아시아-태평양 지역에서 개인정보보호 우수기업으로 인정받는 효과를 누릴 수 있어요. 
    현재 CBPR에는 APEC 회원국 21개국 중 한·미·일과 캐나다, 대만, 필리핀, 싱가포르, 호주, 멕시코 등 9개국이 참여하고 있어요.
     
    7개국이 새로운 CBPR을 왜 만들어?
    기존 9개국에서 호주와 멕시코를 제외한 7개국은 기존 'CBPR'을 기반으로 APEC과는 독립적인 조직을 만들어 브라질, 영국 등 APEC 비회원국의 참여도 적극적으로 수용한다는 방침이에요.
    이는 미국이 주도한 것으로 알려졌으며, APEC 가맹국인 중국과 러시아에 개인정보가 흘러가는 것을 경계하고 아시아-태평양을 넘어 세계에서 활용할 수 있는 시스템으로 강화하고자 하는 목표를 가지고 있어요.
    다만 이번 7개국의 움직임은 APEC이 관여하지 않고 독자적으로 추진되는 것인 만큼 당분간 기존 CBPR과 공존하며 APEC과 어떻게 조율해 나갈 것인지가 큰 과제예요.


    GDPR과의 차이는?
    아마 유럽연합(EU)의 GDPR(General Data Protection Regulation)이 떠오르실 것 같은데요. CBPR은 GDPR과 어떤 차이가 있을까요?
    GDPR은 유럽 내 기업에만 적용되는 것이 아니라, EU역내에 자회사를 두었거나 EU에 서비스를 제공하고 개인정보처리에 대한 위탁을 받은 모든 기업들에게 적용돼요.
    반면 CBPR은 각국의 개인정보보호법이 서로 다르다고 해서 법이나 제도를 바꾸는 것이 아니라, 상호 간 신뢰할 수 있는 개인정보 이전체계를 마련한다는 점에서 GDPR과 차이가 있어요.

    우리나라의 CBPR 인증제도는?
    현재 CBPR에 참여하고 있는 있는 9개국 중 인증제도를 도입해 기업 인증에 착수한 나라는 미국, 일본, 싱가포르 그리고 우리나라까지 4개국이에요. 이미 미국, 일본, 싱가포르 3개국의 48개 기업이 CBPR 인증을 받았어요.
    우리나라는 2017년 CBPR 가입 승인을 받아 감독기구는 개인정보보호위원회이며 인증기관은 한국인터넷진흥원이 맡았어요.
    지난 5월 3일 인증제도 도입 및 운영을 공식 개시하고, 5월 17일에 인증제도에 대한 온라인 설명회를 개최했어요.
    국내 CBPR 인증은 국내 개인정보보호법 적용 대상 기업이 신청할 수 있으며, 인증심사는 서면심사와 담당자 인터뷰 중심으로 진행되고, 인증심사 준비 및 신청부터 인증서 발급까지는 인증심사의 범위 등에 따라 차이가 있으나 일반적으로 3개월~5개월 정도가 소요된다고 해요.

    국내 기업에게 좋은 점은?
    국내 기업들이 CBPR을 취득할 경우 얻을 수 있는 혜택은 무엇일까요?
    우선 글로벌 수준의 개인정보보호 관리체계 보유기업으로 글로벌 신뢰를 얻을 수 있어요. 또한, CBPR 참여국을 대상으로 사업을 영위하는 기업은 개인정보 국외이전이 용이하며, 특히 CBPR 참여국이 확대될 경우 해외 진출 과정에서의 개별 법규 대응 비용 절감이 가능해져요. 아울러 해외 교역 대상 기업(수탁사, 제휴사 등)과 계약시 CBPR 인증 취득 조건 요구를 통한 개인정보보호 수준 확보가 가능해진다고 합니다! 

    <과거 관련 기사>
    63232_1644987697.png
    북한에 IP 넘기고 해킹 시도한 일당, 간첩 혐의로 기소
    국내 금융기관 및 국가기관 기밀 입수해 북한 해커에 전달

    북한 공작원·해커들을 도와 국내 금융기관 전산망 해킹을 시도한 우리나라 국민 5명이 간첩(국가보안법위반) 혐의로 재판에 넘겨졌어요. 검찰 발표에 따르면, 이들은 지난 2011년 북한 공작원의 지령을 받고 국내로 들어와 IP 등 기밀을 탐지해 다시 북한 해커에게 전달해 북한의 농협 전산망 해킹을 도운 혐의를 받고 있어요. 5명 중 3명은 구속 기소, 2명은 불구속 기소됐고요.
     
    북한 해커를 도왔다고? 어떻게 파악 된 거야?
    2018년북한 공작원 대북보고문이 확보되며 수사가 시작됐는데, 해당 보고문에는 '농협을 해킹해서 자금을 인출하겠다'는 내용과 국내 해커 등의 인적사항이 포함돼 있었다고 해요. 이후 검찰과 경찰의 4년에 걸친 공조 수사 끝에 국내 해커 1명을 작년 6월에 검거하면서 이후 해킹 관리 감독자, 북한 공작원 연락책까지 순차적으로 검거하게 됐고요.

    그럼, 2011년 농협 전상망 마비 사태와 관련이 있어?
    검찰은 이들이 2011년 '농협 전산망 마비 사태'에는 관여하지 않았다고 발표했어요. 당시 국내 주요 정부기관, 은행, 포털사이트에 대한 디도스(DDos) 공격으로 큰 혼란이 있었음을 이미 알고도 북한 해커들과 함께 금융기관 해킹을 시도했으나 미수에 그친 것으로 확인됐어요. 다만, 북한 공작원과 해커들이 이들로부터 넘겨받은 IP 정보들을 활용하여 해킹을 시도해, 국가 안보에 위협을 야기했고요.

    해커가 검거된 사례, 또 있어?

    ○ 14만 명 정보 유출 해커 검거
    - 지난해 8월 소개팅앱 '골드스푼' 서버가 해킹돼 약 14만 명의 회원정보가 유출된 사고가 있었어요. 해커는 관리자의 ID와 패스워드를 이용하여 AWS에 접근해 DB파일을 백업받는 방식으로 회원 이름과 나이, 휴대전화번호, 이메일, 직업, 종교, 사진, 회사, 학교, 신분증, 가족관계증명서 등을 탈취했고요. 이를 유포하겠다며 앱 운영사에 25억원 상당의 가상자산을 요구하고, 일부 개인정보를 인터넷 상에 유출하며 회원들을 직접 협박하기도 한 것으로 알려졌어요.
    - 개인정보보호위원회 조사 결과에 따르면 운영사에서 접속권한을 인터넷주소(IP)로 제한하지 않는 등 기술적·관리적 보호조치가 미흡했다는 사실도 확인됐고요. 다행히 경찰은 운영사의 고소장을 접수한 후 협박 이메일, 서버기록 등을 분석해 해커를 특정하고 검거했어요.

    ○ 한미 공조로 잡힌 해커, 美서 첫 재판
    - 지난해 6월, 인천국제공항에서 악성 소프트웨어 '트릭봇'을 개발한 다국적 사이버 범죄 조직 '트릭봇 그룹'에 가담한 혐의를 받고 있던 러시아 출신의 해커가 우리나라 당국에 체포돼 범죄인인도심사를 거쳐 미국에 인도됐어요.
    - 미 국무부에 따르면 '트릭봇 그룹'이 미국 내 기업과 개인에게서 훔친 돈만 200만달러(약 23억4000만원) 이상이라고 해요. 또한, 검거된 해커는 트릭봇이 제대로 작동하도록 관리하고, 보안 소프트웨어가 트릭봇을 찾아내지 못하게 만드는 방법을 개발하는 역할을 담당했으며, 재판 결과에 따라 모든 혐의에 대해 유죄 판결을 받으면 최대 60년 징역형을 받을 수 있다고 해요.

    ○ 숙박 정보 해킹 일당 검거
    - 지난 2017년 6월, 숙박 O2O 서비스 '여기어때'를 해킹한 일당이 경찰에 검거됐어요. 이들은 중국인 해커를 통해 여기어때 전산망에 침입해 이용자 91만 명의 숙박 예약정보를 포함, 총 99만 명의 개인정보 341만 건을 유출한 뒤 가상화폐 비트코인 6억 원 상당을 요구했어요. 업체가 이를 응하지 않자 고객들에게 모텔상호, 호실 내역 등이 담긴 협박 문자를 보내기까지 했어요. 
    - 당시 여기어때 홈페이지는 SQL 인젝션 공격에 취약한 상태였고, 관리자 홈페이지에는 세션 하이제킹(Session Hijacking) 공격을 탐지 및 차단하는 체계가 없었던 것으로 확인됐어요.
    - 방송통신위원회에서는 보호조치 규정을 준수하지 않아 발생한 취약점이 해킹에 직간접적으로 악용된 점, 피해규모가 크고 유출된 개인정보를 활용한 문자발송 등 추가 피해가 확인된 점 등을 종합적으로 고려해 운영사의 위반행위를 '매우 중대한 위반행위'로 보고 과징금 3억100만원과 과태료 2천500만원을 부과했어요.

    <과거 관련 기사>
    "39만명 정보 털었다"...흥신소‥업자 통신사 직원 일당 검거 (2022.04)
    63232_1644987697.png
    (CONCERT) 2022 랜섬웨어 대응 CONTEST 개최  

    한국CPO포럼과 긴밀한 협력관계인 한국침해사고대응팀협의회에서 2022 랜섬웨어 대응 CONTEST를 오는 5월 31일(화) 양재 at컨벤션센터 그랜드홀에서 개최해요!
    갈수록 고도화되는 랜섬웨어 위협, 공격에 활용된 기술 등 주요 트렌드를 공유 및 논의하고, 다양한 보안 솔루션들을 어떻게 효과적으로 대응하고 방어할 수 있는지, 실제로 어느 정도 수준을 기대할 수 있는지 등을 집중적으로 검토해보는 시간을 가져 볼 예정이니 많은 참여 부탁드립니다!
    세미나에 참여하려면~? ▼
    63232_1644987697.png
    이번 주 뉴스레터는 어떠셨나요?
    솔직한 의견을 보내주세요!
    63232_1644987697.png
    63232_1644987386.png
    homepage2-snsC.pngfacebook-snsC.pnginstagram-snsC.pngchannel-snsC.png
    (사)한국CPO포럼
    서울시 서초구 서초중앙로 56, 블루타워 7F
    수신거부  지난레터보기구독정보변경