카드 3사 개인정보 유출사고, 첫 피해자 승소
2014년에 금융업계와 정보보안 업계에 있어서 가장 큰 사건이였던 KB국민카드, 농협카드, 롯데카드의 고객 개인정보유출사고에 대해서 피해자들이 카드사를 상대로 낸 소송에서 처음으로 승소하였습니다.
2016년 1월 22일 서울중앙지법에서는 카드회사는 개인정보보호 관련 법을 위반하였고 카드회사의 개인정보보호 용역을 수행하였던 코리아크레딧뷰로(이하 KCB)도 직원에 대한 관리감독에 대한 소홀로 사상초유의 개인정보유출사태가 일어났음을 언급하였습니다.
2014년에 일어난 개인정보 유출사태는 카드 3사가 보관 중인 고객 DB가 유출당해 개인정보보안을 위해서 이름, 주민등록번호, 카드번호, 결제계좌번호, 주소, 휴대전화번호, 유효기간 등을 개인정보뿐만 아니라 금융결제 기록까지 유출된 사건이였습니다.
이 사건은 카드사의 시스템 개발 과정에서 용역업체인 KCB의 직원이 의도적으로 개인정보를 유출한 한 것이 원인으로 그 규모도 전 세계에서 벌어진 개인정보 유출사건에서도 3위에 해당할 만큼 큰 규모의 해킹사고 입니다.
기술적인 보안조치 미흡, 보안사고 발생시 책임회피 어려워
카드 회사에서는 자신들도 피해자이며, KCB에 의한 범행이므로 우리는 책임이 없다고 하였지만, 법원에서는 감독의 의무를 성실히 하지 않았을 뿐더러, 가장 중요한 기술적인 보안조치가 이루어지지 않았기 때문입니다.
※ 기술적 조치 : 고객정보 DB암호화, 내부정보유출방지 (DLP) 등의 보안적 장치
다만, 이날 소송을 진행한 피해자 5,000여명은 1인당 20~70만원 씩 총 13억원을 요구하였으나, 법원은 재산상의 피해가 확인되지 않았기 때문에 인당 10만원으로 배상금을 책정하였으며, 이로 인해 KB국민 카드회사와 KCB는 공동 4억 5,000만원을 배상하고, NH농협카드는 5,000만원을 배상하여야 합니다.
업계에서는 배상금액이 문제가 아니라, 이 판결로 인해서 현재 대기 중인 소송 300여건과 총 소송금액이 1,100억원에 달하는 소송에서도 굉장히 불리하게 작용할 전망입니다. 이미 선례로 개인정보유출로 인한 피해를 인정하게 되었으므로 앞으로 일어나는 개인정보유출사고 관련 소송에서 패소하여 피해배상금을 지불해야 할 확률이 높아졌습니다.
DB암호화는 기업에 있어서 보험과 같습니다.
정보유출 사고의 97%는 관리 부주의에 있다고 합니다. 개인정보보호법이 DB암호화를 반드시 의무화 시킨 이유는 단순한 보안솔루션으로는 개인정보 유출사고를 완벽하게 막을 수 없기 때문입니다. 이를 막을 수 있는 방법은 바로 보유하고 있는 데이터베이스를 DB암호화하는 것입니다.
DB암호화의 궁극적인 목적은 데이터가 유출된다 하더라도 불법적으로 사용할 수 없는 무용지물 데이터로 만들어 버리는 것입니다. AES-256과 같은 강력한 알고리즘으로 암호화한 경우에는 암호화 시 사용된 암호화 키를 유출당하지 않는 이상 고객의 DB는 안전하게 암호화되어 절대 내용을 확인할 수 없습니다.
그러기 때문에 가장 중요한 부분은 DB암호화도 중요하기 하지만 이를 안전하게 관리하는 암호화 키 관리/보관 방안과 암호화 키를 통해 DB데이터를 복호화할 수 있는 접근권한 제어에 있습니다.
이를 가능하게 하는 보안 장비로는 HSM이 있습니다. (하드웨어암호화 모듈 - Hardware Security Module)은 암호화 키를 생성하고 저장하고 역할을 하는 암호화 전용 장비입니다. Key에 대한 생성, 교환, 백업, 보관, 키 라이프 사이클 관리 등의 기능을 안전하고 편리하게 관리할 수 있습니다.
아이마켓코리아에서 유통하는 Thales HSM은 높은 암호화 성능과 암호화 키 관리 기능으로 서버에 가해지는 부담을 최소화하고 강력한 상용화 알고리즘으로 DB암호화가 가능하며 복호화에 사용되는 암호화 키를 안전하게 분리/보관하게 할 수 있는 강력한 하드웨어암호화 모듈(HSM)입니다.
탈레스 HSM은 (Thales e-security) FIPS 140-2 Level 2 및 Level 3 인증과 CC EAL4+을 받은 제품으로 탈레스는 마이크로소프트와 오라클 골드 파트너사로 등록되어 있습니다.
[지원되는 암호 알고리즘]
- 비대칭 공개키 알고리즘 : RSA(1024, 2038, 4096), Diffie-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH
- 대칭키 알고리즘 : AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES
- Hash/Message Digest : SHA-1, SHA-2 (22, 256, 384, 512 bits)
- Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현
※ Thales nShield Solo HSM은 Solid State 저장소를 사용하기 때문에 가용성이 높습니다.
구축을 통해서 높아져가는 개인정보보호법 요구사항을 준수하여 리스크를 최소화 해야 한다.
Thales HSM은 nShield Solo는 여러 서버들로 구성된 클러스터에 사용되어 부하조절 및 높은 가용성을 실현할 수 있습니다. 데이터 센터 환경에서 여러가지의 nShield Solo 모듈을 사용하는 고객을 위해 스마트카드 리더 렉 마운트가 옵션으로 제공됩니다.
Thales nShield Solo HSM은 성능 및 PCI 인터페이스에 따라서 다양한 모델을 지원하고 있습니다.
아이마켓코리아에서는 전세계 HSM 점유율 1위를 자랑하는 Thales HSM을 DB 암호화 키 관리 용도로만 사용할 경우, PCIe Type인 HSM (FIPS 140-2 Level 3)제품에 대해서 특가 프로모션을 진행하고 있습니다.
자세한 사항은 http://itblog.imarketkorea.com/173 을 참조해주시기 바랍니다.
김 경 일
대리 │ IT 솔루션 영업팀
TEL : +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
개인정보보호, 생체인식정보 암호화의 중요성 (0) | 2016.05.03 |
---|---|
지불결제 전용 암호화솔루션 Thales Payshield 9000 (0) | 2016.02.27 |
[보안사고] 금융권 보안솔루션 디지털서명(코드사인) 해킹사고 발생 (0) | 2016.02.24 |
글로벌 핀테크 산업에 반드시 필요한 지불결제보안표준, PCI DSS (0) | 2016.02.12 |
행정자치부, 개인정보 관리 부실업체 명단 공개 (0) | 2016.02.04 |
Thales nShield Solo 확장 기능 소개 (DB암호화 솔루션) (0) | 2016.01.28 |
고성능 PCIe 내장형 암호화 모듈 Thales HSM nShield Solo (0) | 2016.01.24 |
HSM 장비를 고르는 필수 기준, FIPS 인증 알아보기 (0) | 2016.01.15 |
은행권도 주민등록번호 암호화 조치 동참 (0) | 2015.12.29 |
헌법재판소, 2018년부터 주민등록번호 변경 허용 (0) | 2015.12.24 |