Security
Governance – 침해사고 대응 프로세스 가이드
1.
본 문서는 국내 개인정보 보호법, 신용정보법, 미국 연방정보보안관리법(FISMA)과 한국 개인 정보 보호 위원회, 한국 정보 보호 진흥원, 미국 국립표준기술연구소(NIST)의 권고를 참고하여 작성되었습니다.
2.
본 프로세스는 단계별 기본적인 대응 지침이며, 책임자의
리스크 관리 및 판단에 따라 단계 순서가 변경되거나 수정될 수 있습니다.
3. 프로세스 적용 전실제 담당자와 팀, 유관 기관 및 문서의 내용을 회사 상황에 맞추어 수정 및 결정해야 하며, 본 문서의 저자는 해당 결과에 대해 책임지지 않습니다.
단계별 진행 사항
1.
예방
예방 단계는 크게 팀 구성, 교육,
준비로 나누어집니다.
팀 구성
정보보호 책임자 : 대응 팀 구성 및 운영, 의사결정
정보보호 부서 : 유관 기관에 신고 또는 직접 침해사고 분석 및 복구
등 침해 대응
개인정보보호 담당자 : 유관 기관에 유출 신고 및 통지 업무
고객 지원 부서 : 민원 대응, 피해구제
및 분쟁 조정 기구 안내
전 직원 : 사고 신고 및 유출 대응 지원
교육
교육을 통해 인지하는 직원이 많아질수록 모든 종류의 리소스 낭비가 줄어듭니다.
교육의 방법과 내용, 범위, 일시 등은 정보보호
책임자가 의사 결정하며, 교육은 부서에서 진행합니다.
프로세스 준비
사고 보고를 위한 정형화된 문서와 정책, 운영 과정 등을 수립하여
공유하여 시간을 단축합니다.
문서에는 아래와 같은 사항들이 들어가는 것이 권고됩니다.
●시간과 날짜(작성, 사건, 보고)
●사고 보고 내용과 출처
●사건 특성과 조치 내역
●관련된 하드웨어, 소프트웨어의 목록
●사고 탐지 및 사고발생 관련자의 네트워크 연결지점 등
2.
탐지
탐지의 경우 크게 두가지로 이루어집니다. 외부인에 의한 탐지, 내부의 탐지입니다.
외부인에 의한 탐지 :
메일이나
버그 바운티 등을 통해 알게 된 경우 먼저 각 별도 프로세스를 통해 적절한 감사 표시를 진행합니다. (감사장, 현상금 등) 이와 동시에 병렬적으로 간략한 보고를 통해 팀 내부에서
내용을 공유합니다. 일방적인 유출의 경우에는 이후 법적 대응을 진행할 수 있습니다.
내부 탐지 :
내부
장비 또는 직원에 의해 탐지된 경우, 먼저 탐지 경위와 간단한 사실에 대해 정보보호 부서에 공유하고
알립니다.
3.
조사 및 분석
분석의 경우 유관 기관 또는 정보보호부서에서 진행합니다.
6하 원칙과 기기/네트워크를 나누어 정보를 수집하고 식별하여 항목에 대한 영향도를 평가합니다.
시간 단축을 위해 관련된 공식 문서는
프로세스 준비 단계에서 미리 준비해야 합니다.
분석 이후 책임자는 아래와 같은 항목을 고려하여 단기적으로 전략을 구상합니다.
●네트워크 및 시스템 다운시간과 이로 인한 운영상의 영향
●사건 공개와 그에 따른 조직의 대외 이미지와 업무에 영향
●지적 재산권의 도용과 잠재적인 경제적 영향
4.
긴급 조치
본 단계의 유형은 크게 개인정보 유출과 개인정보 유출이 아닌 것으로 나눌 수 있습니다.
매우 다양한 유형의 사고가 존재하므로, 부서간 협의를 통해 적절한
긴급 조치를 수행합니다.
개인정보 유출 사고
●해킹에 의한 유출 : 시스템 분리 및 차단, 증거 자료 확보, 원인 분석
●내부자에 의한 유출 : 유출 경로 확인, 유출 기기 확보, 접근 권한 확인 및 경로 차단
●이메일에 의한 유출 : 발송 이메일 회수, 삭제 요청, 암호화 추가 등
●기타 유출 : 원인 파악 및 수정
일반 침해 사고
●DoS : 네트워크 재 설정 및 코드 수정
●비인가 사용 : 포렌식 분석으로 증거 확보
●파괴 : 업데이트 등을 통한 기존 상태로 복구
●정보 도난 : 시스템 이미지 확보 및 법적 대응
●침입 : 공격자 활동 감시 및 접속 봉쇄, 재설정
긴급 업데이트, 네트워크 차단, 대응
발표 등 우선 순위와 침입 유형별 긴급 조치를 진행합니다.
5.
통지 및 신고
상급자 및 소송 관련자들에게 관련 내용을 전달하기 위해 누구나 알기 쉬운 형태로 6하원칙에 따라 보고서를 작성해야 합니다.
특히 의사 결정자가 알기 쉽게 설명해야 하며,
복구 단계의 의사 결정을 돕기 위하여 아래 Risk Management 4단계를
고려할 수 있도록 작성해야 합니다.
●Risk Avoidance : 사고와 관련된 기능을 삭제합니다.
●Risk Transfer : 사고에 대해 보험 또는 약관 동의를
통해 사용자에게 위험을 전가합니다.
●Risk Reduction : 리소스를 투입하여 위협을 근본적으로
해결합니다.
●Risk Retention : 사고와 관련된 위협을 계속 보유합니다.
개인정보 유출의 경우, 개인에게도 알려야 할 법적 책임이 있으므로
상급자 보고 이후 통지 및 신고 단계를 추가적으로 수행해야 합니다.
개인 정보 유출 (통지)
a. 통지 주체
개인정보 보호법 제34조(개인정보
유출 통지 등) : 개인정보처리자
개인정보 보호법 제39조의4(개인정보
유출등의통지․신고특례) : 정보통신서비스 제공자
신용정보법 제39조의4(개인신용정보
누설통지 등) : 신용정보회사등에서의 상거래 기업 및 법인
b. 통지 시점
개인정보 보호법 제34조 : 5일
이내 (긴급 조치 가능)
개인정보 보호법 제39조의4 :
24시간 이내
신용정보법 제39조의4 : 5일
이내 (긴급 조치 가능)
c. 통지 방법
개인정보 보호법 제34조 : 1천명
이상의 경우에 서면등의 방법과 동시에, 홈페이지 또는 사업장에 7일
이상 게시
개인정보 보호법 제39조의4 : 이용자의
연락처를 알 수 없는 등의 경우에는 홈페이지에 30일 이상 게시
신용정보법 제39조의4 : 1만명
이상의 경우에는 홈페이지 또는 사업장에 15일 이상 게시 또는 신문 등에 7일 이상 게시
d. 통지 내용
유출된 개인정보 항목,
유출된 시점과 그 경위,
정보주체가 취할 수 있는 피해 최소화 조치,
개인정보처리자 대응조치 및 피해 구제절차,
정보주체가 피해 신고, 상담 등을 접수할 수 있는 부서 및 연락처
개인정보유출
(신고)
a.
신고 주체
개인정보 보호법 제34조(개인정보
유출 통지 등) : 개인정보처리자
개인정보 보호법 제39조의4(개인정보
유출등의통지․신고특례) : 정보통신서비스 제공자
신용정보법 제39조의4(개인신용정보
누설통지 등) : 신용정보회사 등에서의 상거래기업 및 법인에 한정
b. 신고 시점
개인정보 보호법 제34조 : 5일
이내
개인정보 보호법 제39조의4 :
24시간 이내
신용정보법 제39조의4 : 5일
이내
c. 신고 규모 (아래 규모
이상의 정보주체에 관한 개인정보가 유출된 경우 신고)
개인정보 보호법 제34조 : 1 천명
이상
개인정보 보호법 제39조의4 : 1
명 이상
신용정보법 제39조의4 : 1 만명
이상
d. 신고 방법
개인정보보호위원회 또는 한국인터넷진흥원의 홈페이지, 전화, 팩스, 이메일, 우편
등의 방법으로 신고
e. 신고 내용
유출된 개인정보 항목,
유출된 시점과 그 경위,
정보주체가 취할 수 있는 피해 최소화 조치,
개인정보처리자 대응조치 및 피해 구제절차,
정보주체가 피해 신고, 상담 등을 접수할 수 있는 부서 및 연락처
복구
상기 진행한 보고를 통해 앞으로의 전략에 대한 의사결정이
완료되면, 아래 사항을 고려하여 복구를 진행하고 재발 방지 대책을 수립합니다.
●침해 시스템의 복구
●밝혀진 취약점에
대한 조치
●시스템을 개선할
책임자
●시스템 개선이 이루어지고
있는지에 대한 추적
●모든 복구 과정과
결과에 대한 유용성 검증
●재발 방지 대책 및 정책 개선
추가적으로, 개인정보
유출 사고인 경우 아래 항목도 고려하여 복구를 진행합니다.
●홈페이지 등을 통한 유출 여부 조회기능 제공
●유출 피해
신고, 접수, 상담, 문의
등 민원 대응 방안 마련
●유출 혼란
최소화 방안 강구
●2차 피해 방지를 위한 유의 사항 안내
●피해 보상
계획 마련 및 관련 제도 안내