Cyber Defense Live 2018 우리회사가 해킹을 당다면fireeyeday.com/event/pdf/T1_2.CyberDefenseLive2018.pdf · 2017년 하나투어 해킹으로 49만명 회원정 유출 ©2018

Cyber Defense Live 2018

우리회사가 해킹을 당했다면?

법무법인(유) 윣촌 손도일 변호사

Mandiant 컨설팅 윢삼수 전무

2018. 4. 5.

©2018 FireEye | Private & Confidential

전체 Time Line

2

Phase 2

Phase 3

Phase 1

사이버 공격의 증가

15 min

20 min

5 min

S

7

15

22

29

35

40

사이버 침해사고 사렺

예비 짂단(기술적)

예비 짂단(관리적) - 사이버보험

규제기관 대응

사젂질의 TOP5(2) 사젂질의 TOP5(3)


사이버공격의 변화 (지속적으로 증가 추세)

3

왜 ? 결과는 ?

• 침해사실의 인지 : Asia Pacific 평균 172일 (한국 2.8년) / Worldwide 평균 99일

• 4차 산업하의 정보보호 : 생명과 관련

61398부대 APT1

정찰총국 APT37

누가 ?

APT28

어떻게 ?

사이버 인질 (랜섬웨어)


침해사실을 얶제 알게 되는가?

4

• Asia Pacific: 평균 172일 (한국 2.8년) / Worldwide: 평균 99일

0 months

4 months

6 months

2 months

Threat Undetected

Remediated Initial Breach

Incident Response

2.8 YEARS

내부발견

47 %

외부통지

53 %

31% - Financial

Retail & Hospitality - 7%

10% - Energy

9% - Telecommunications

Business & Professional Services - 5%

Manufacturing - 7%

Other - 7%

Government - 5%

High Tech - 7%

Media & Entertainment - 7%

Transportation & Logistics - 5%


5

APT37 APT1,9,16,17,22,28,30 UNC147, UNC228 SOGU, KABA, WINNTI, ZXSHELL, LURID, PEACECOFFEE, ZUMKONG, MACKTRUCK, TEMP.HERMIT

한국을 노리는 공격자들

© 2018 FireEye | Private & Confidential


최근 사이버 사고 관련 기사

6

美 "중국이 기술 도둑질" 공식 발표

"50대50 합작 투자만 허용, 밀실서 기술이전 강요하고 민갂 투자 가장해 기술 빼내…

인민해방굮이 해킹 주도"

미 무역대표부(USTR)가 "중국이 국가 주도로 미국 기술을 도둑질했다"고 주장하는 공식 보고서를 발표했다.

트럼프 정부가 지난 22일(현지 시각) 중국산 제품에 600억달러의 관세를 부과하기로 하고, 23일 중국을

WTO(세계무역기구)에 제소하면서 그 근거로 제시핚 것이다.

USTR이 작년 8월부터 미 통상법 301조에 근거해 조사를 벌인 뒤 발행한 215쪽짜리 이 보고서는 중국이 정부

주도로 미국의 자동차·정보통싞·항공 등 첨단 기술 산업과 관련된 기술을 어떻게 탈취했는가를 구체적으로 담고

있다. 정부가 중국을 공정핚 무역상대국으로 인정하지 않겠다고 공식화핚 것으로, 미·중 관계에서 돌아올 수

없는 강을 건넜다는 분석이 나온다.

보고서는 중국 정부가 해킹에도 직접 관여하고 있다고 밝혔다. 미국 상업 네트워크망에 직접 침입하거나 이를

지원해 미국 기업들의 사업 정보와 기술 데이터를 빼 갂 것이다. 보고서는 "솔라 월드, US 스틸 등 최소 140여

기관에서 중국 소행으로 추정되는 데이터 탈취 사렺가 발생했다"고 했다.

2018. 3. 26.


지속적인 사이버 위협 존재

7

출처 : 방송통싞위원회(핚국인터넷짂흥원 개인정보 침해싞고센터 접수자료)


사이버 공격으로 인한 사례 (1/4)

8

개인정보 유출 사고 사례

사고사렺 정보 유출 규모

2008년 옥션 해킹으로 고객 1,081만명 개인정보 유출

GS칼텍스 고객 1,125만명의 개인정보 유출

2009년 SK컴즈 해킹으로 싸이월드 200만명 정보 유출

2011년 현대캐피탈 해킹으로 고객 42만명 정보 유출

SK컴즈 3,500만명의 주민등록번호 및

휴대젂화번호 등 유출

2012년 KT 고객 870만명 정보 유출

짂학정보사이트 고교 3학년생 68만명 정보 유출

사고사렺 정보 유출 규모

2014년 카드 3사 (KB, 농협, 롯데카드)

1억 400만건 싞용정보 유출

2015년 뽐뿌 해킹으로 195만명 회원정보 유출

2016년 인터파크 해킹으로 2,500만명 회원정보 유출

2017년 여기어때 (위드이노베이션)

해킹으로 97만명 이용자정보 유출

2017년 이스트소프트 (알집, 알약)

해킹으로 13만명 회원정보 유출

2017년 하나투어 해킹으로 49만명 회원정보 유출



개인정보처리자 PC를 켜둔 상태에서 퇴근

후에도 업무망 및 DB계정 관리프로그램에

접속을 유지핚 채로 방치

작업일지에 기록도 하지 않고 DB서버에

12시갂 이상 접속핚 횟수가 19회 있었음에도,

이를 차단하지 않은 행위

최초 감염 PC에 내부 서버 및 PC 등에 접속핛

수 있는 비밀번호를 평문으로 기록하여

텍스트 파일 형태로 저장

정당핚 사유 없이 개인정보 유출사실 이용자

통지 및 싞고를 지연핚 행위

9

주요 관리적 Risk 구분 내용

사건개요 인적사항을 알 수 없는 해커는 지능형 지속가능

위협(APT) 공격방식의 해킹으로 이용자 개인정보를

탈취하여 외부로 유출핚 사건

원인 정보통싞망법 제28조제1항에 따른 기술적ㆍ관리적

보호조치 중 접근통제를 소홀히하여

개인정보처리시스템에 대핚 개인정보처리자의 접속이

필요핚 시갂 동앆만 유지되도록 „최대 접속시갂 제핚

조치‟ 등을 취하여야 하나, 개인정보처리자가 업무가

끝난 뒤에도 로그아웃을 하지 아니하고 퇴근하여

개인정보처리자의 컴퓨터(PC)가 해킹에 이용된 것

등으로 확인

피해규모 총 25,403,576건

(중복제거 시 20,510,131명, 다만, 법인 및 개인 탈퇴회원

4,426,240건은 아이디와 일련번호만 유출되어 개인정보

건수에서 제외)

유출항목 회원의 아이디, 일방향 암호화된 비밀번호, 이름, 성별,

생년월일, 젂화번호, 휴대젂화번호, 이메일, 주소 등



보호조치 규정을 준수하지 않아 발생핚 취약점이

이번 해킹에 직갂접적으로 악용된 부분

– 고객상담사 등에게 파일 다운로드 권핚이

있는 관리자페이지 접근권핚을 부여하는 등

접근권핚을 과하게 부여핚 점

– 인사이동 시 취급자의 접근권핚을 지체없이

변경하지 않은 점

피해규모가 크며, 유출된 개인정보 활용핚

문자발송 등 추가 피해 확인된 부분

자짂싞고로 10% 감면

10


사건개요 B사 마케팅센터 웹페이지의 취약점을 이용핚 SQL인젝션

공격을 통해 해커가 개인정보를 탈취핚 사건

원인 홈페이지에는 비정상적인 DB 질의에 대핚 검증젃차가

없어 SQL 인젝션 공격에 취약핚 웹페이지가

존재하였으며, 탈취된 관리자 세션값을 통핚

우회접속(세션변조 공격)을 탐지ㆍ차단하는 체계가 없는

것으로 확인

피해규모 총 971,877명 (이용자 기준 중복 제거 시)

(예약정보 3,239,210건, 제휴점정보 1,163건, 회원정보

178,625건 /

그 중 총 4,817건의 „협박성 음란문자‟가 발송)

유출항목 이름, 닉네임, 회원번호, 휴대폮번호, 결제방법, 금액,

은행명, 계좌번호, 예금주, 휴대젂화번호, 이메일주소,

기기정보 등



수탁업체 직원에 대핚 관리감독 위반으로

개인정보 DB의 아이디와 비밀번호를 해커가

쉽게 접근핛 수 있도록 하여 중대핚 관리상의

과실을 보인 점

주민등록번호 10만건 이상이 유출

11


사건개요 해커는 알 수 없는 방법으로 넷클라이얶트 서버를

장악하고 다수 업무용 PC 및 서버에 악성프로그램을

배포 및 감염시켰으며, 악성프로그램에 감염된 업무용

PC 등을 통해 내부정보를 수집하고 개인정보 유출을

위핚 거점을 확보핚 후 DB서버 및 개인정보취급자 PC에

보관된 개인정보를 외부로 유출

원인 외부에서 내부 보앆망 PC에 접근 시 ID/PW 외

추가인증없이 접근하였고, DB서버에 접속하는 경우에

필요핚 일정시갂만 접속이 유지되도록 하는 „최대

접속시갂 제핚조치(Time Session-Out)‟를 위반하였으며,

PC에 엑셀 및 텍스트 파일의 일부를 암호화 또는

비밀번호를 설정하지 않은 상태로 보관핚 것으로 확인

피해규모 49만명 (고객 465,198명, 임직원 29,471명)

유출항목 아이디, 이름, 생년월일, 성별, 이메일, 젂화번호,

주민등록번호 등


규제홖경의 변화: 규제 Risk 증가

12

“방통위, A사

개인정보 유출사고 엄정 제재”

행안부, „개인정보 유출＇

B사에 과징금 3억원 부과

방통위, C사 개인정보 유출사고

엄정 제재

2017-09-08 2018-02-06 2017-09-08

과징금 3억100만원, 과태료 2,500만원,

시정명령 공표 등 처분

개인정보 유출사고 최초로 책임자 징계

권고

방송통싞위원회(위원장 이효성, 이하

„방통위„)는 9월 8일(금) 젂체회의를

개최하여 „C사‟를 운영하면서 이용자의

개인정보를 유출핚 ㈜OOOOOO에 대해

△과징금 3억 100만원, △과태료

2,500만원, △책임자 징계권고,

△위반행위의 중지 및 재발방지대책

수립 시정명령, △시정명령 처분사실

공표 등 엄정핚 행정처분을 의결했다.

행정앆젂부는 제1차 과징금부과위원회를

열어 △ △ 에 개인정보보호법 위반으로

과징금 3억2천725만 원을 부과하는

행정처분을 내렸다고 6일 밝혔다.

행앆부는 또 △ △ 측에 대표와 정보

유출에 책임이 있는 임원을 징계하고

개인정보보호 특별교육을 시행핛 것을

명령하는 핚편 과태료 1천800만 원도

부과했다.

행앆부는 2014년 3월 과징금 제도를

도입핚 이후 기업·민갂협회와 협약을 맺고

개인정보보호 자윣점검을 벌여왔으나

이번 사고로 자윣점검 감독체계를 대폭

강화하기로 했다.

지난 5월 해킹으로 2,500여만건의

회원정보가 유출된 온라인 종합쇼핑몰

OOOO에 대해 개인정보 유출사고 중

최대 금액인 44억8,000만원의 과징금 및

2,500만원의 과태료와 재발방지 대책을

수립ㆍ시행토록 하는 등의 시정명령이

부과된다.

최성준 위원장은 “반복되는

유출사고에도 불구하고 아직도

기업에서는 핵심 자산인 개인정보 보호에

투자하기보다는 이윢추구를 우선시하는

경향이 있어 앆타깝다고 하면서, 이번

행정처분을 통해 다량의 개인정보를

처리하는 사업자들에게 경종을 울리는

계기가 되길 기대핚다”고 말했다.


개인정보보호 법령 강화

13

관련 법령 개정으로 책임 및 처벌 강화

개인정보

보호법

수탁자는 위탁자의 소속 직원으로 갂주 (제26조

제6항)

징벌적 손해배상: 손해액의 3배 내의 범위 (제39조)

법정 손해배상: 300만원 이하 범위 (제39조의2)

개인정보보호 의무 위반 관련 임원에 대한 징계:

행정앆젂부장관은 이 법 등 개인정보 보호와 관련된

법규의 위반행위에 책임이 있는 자(대표자 및

책임있는 임원을 포함)를 징계핛 것을 해당

개인정보처리자에게 권고 (제65조)

과징금: 주민등록번호 분실·도난·유출·위조·변조 또는

훼손된 경우에는 5억원 이하의 과징금 (제34조의2)

싞용정보법 수탁자는 위탁자의 소속 직원으로 갂주 (제42조의2

제8항)


과징금: 관련 매출액의 100분의 3 이하 혹은 50억원

이하 과징금 (제42조의2)

위치정보법 과징금: 위치정보사업 또는 위치기반서비스사업

매출액의 100분의 3 이하의 과징금 (제14조)

정보통싞망법 수탁자는 위탁자의 소속 직원으로 갂주 (제25조

제5항)

과징금: 위반행위와 관련핚 매출액의 100분의 3 이하

(제64조의 3)

징벌적 손해배상: 손해액의 3배를 넘지 아니하는 범위

(제32조)


개인정보보호 의무 위반 관련 임원에 대한 징계:

방송통싞위원회는 개인정보 보호와 관련하여 이 법을

위반핚 정보통싞서비스 제공자등에게 책임이 있는

자(대표자 및 책임있는 임원을 포함핚다)를 징계핛

것을 권고 (제69조의2)

젂자금융

거래법

금융회사 또는 전자금융업자의 구상권:

젂자금융보조업자의 고의나 과실로 인하여 발생핚

손해에 대하여 이용자에게 배상핚 경우

젂자금융보조업자에게 구상 가능 (제11조 제2항)

과징금: 50억원 이하 과징금 (제46조)


개인정보 사고: 민·형사 책임 및 행정제재

14

1인당 10 – 100만원 2년 이하의 징역 또는

2천만원 이하의 벌금

매출액의 3% 이하

민사 손해배상책임 형사 처벌 행정제재 과징금


예비짂단 필요성

15

법률적 분야

정보보호 및 관계 법령 분석,

개인정보 수집 동의 적법성

여부, 제3자 제공/ 위수탁

적법성 여부, 그 외

과징금/과태료 위반 사항 등

관리적 분야

정보보호 조직 현황, 정보보호

점검 및 교육 현황, 수탁사

관리 감독 현황, 개인정보

Life Cycle에 따른 주요 위반

사항 등

기술적 분야

• 정보보호 관리 현황과 실제

IT시스템 구현 현황

(DB테이블 및 전문)

• 공격자 흔적 전수 조사

• 정보보호 시스템 설정 등

물리적 분야

통제/제한구역 출입 통제

절차 및 운영 현황, 영상정보

처리기기(CCTV) 운영 현황,

중요 문서 관리 현황, 사무실

보안 현황 등

짂단 분야 및 내용

담당자미팅

관련 문서 Quick View

정보보호 현황 분석 주요 이슈사항 도출 짂단 결과 브리핑 개선방안 수립

1 2 3 4

법규 위반 사항 및 주요

보안 요구사항에 대한 이슈

도출

이슈사항에 대해

최적화된 적용방안 제안

짂단 결과에 대해

관련 담당자 대상

브리핑 짂행

제3자 시각을 통한 정보보호 운영∙관리 현황 검토 필요


예비짂단 필요성 - 공격 라이프 사이클

16

정찰 초기침투 거점확보 권한상승 내부정찰 목적달성

연결유지 내부확산

위협, 손실 대응, 투자

APAC 172일 / KR 2.8년

• 공격자는 정상 명령어 사용 • 가시성 확보 어려움 • 침투후 2.8년 공격 지속, 목적 달성


예비짂단 필요성

17

맨디얶트 예비짂단 서비스 (CA : Compromise Assessment)

정황 분석

범위 산정

조사 홖경

구성

초기 조사

수행

발견된

침해시스템,

악성코드

상세분석

상세분석

정보 기반

추가분석

복구 수행

침해지표 (IOCs)

복구 계획 수립

인텔리전스 조사대상 전체 HX agents 설치

Sweeping


사이버 보험 필요성

18

기업 부담

사이버 위험 대응 비용의 증가로 유출사고 발생 시 배상 비용 등 지출로 앆정적 기업 운영의 어려움

싞용정보법 제43조의3

대통령령으로 정하는 싞용정보회사등은

제43조에 따른 손해배상책임의 이행을 위하여

금융위원회가 정하는 기준에 따라 보험 또는 공제에

가입하거나 준비금을 적립하는 등 필요핚 조치를 하여야

핚다.

정보통싞망법 일부개정법률안

일정 규모 이상의 정보통싞서비스 제공자 등이 고의 또는

과실로 이용자의 손해를 일으킨 경우, 그 손해의 배상을

보장하기 위하여 배상책임보험에 가입 또는 금융기관에

자산 예탁을 의무화하고, 이를 위반하는 경우 2천만원

이하의 과태료를 부과함.(고용짂의원 등 19인)

피해자 구제 용이 : 충분하고 싞속한 피해 보상

기업부담 경감 : 안정적 기업 운영

기업들의 자윣적 개인정보의 안정성 확보조치 : 보험료 절감을 위한 안전성 확보조치의 자윣적 도입

[ 기대효과 ]


규제기관 대응

19

사이버 침해 사고 발생 후 기관 대응

사고 인지 및

초기 대응 사실

싞고

내부 조사에

따른 사고

원인 보고

민원 처리 등

고객 구제 방안

보고

사고 예방

방안 수립 및

개선 작업

관계 기관

종합 보고


규제기관 대응

20


검·경 조사

대응 방안

수립

법인 및 담당자

조사 지원

조사에 따른

의견서 작성

별건 방지를

위한 추가

조사 지원

법인 리스크

최소화


규제기관 대응

21


방통위·금감원

등 현장 조사

지원

법인 및 담당자

조사 지원

조사에 따른

확인서·의견서

작성 지원

별건 방지를

위한 추가

조사 지원

법인 및 임원

리스크 최소화

사젂질의 TOP5


23

Big Data 결합

사이버 보험

GDPR 대상 적용 여부

침해사고 발생 시 내부통제

위∙수탁 / Cloud

1

2

3

4

5

Q & A

손도일 변호사

E. [email protected]

T. 02.528.5836

윢삼수 전무

E. [email protected]

T. 02.2092.6580

Documents

Cyber Defense Live 2018 우리회사가 해킹을 당다면fireeyeday.com/event/pdf/T1_2.CyberDefenseLive2018.pdf · 2017년 하나투어 해킹으로 49만명 회원정 유출 ©2018