최근 고도화되는 사이버 위협으로 인해 개인정보 유출 사례가 빈번해지고 있는데요, 최근 발생한 관련 사례와 함께 한솔PNS는 그룹사 정보 보호를 위해 어떤 활동을 하는지 소개해 드리려고 합니다.
1. 정보 유출 사고 사례 및 동향
2023년 11월 국내 서비스 업체에서 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보가 유출되는 사건이 발생되었습니다. 조사 결과 파일서버 내 자료(개인정보, 주요 정보 등)에 대해 보안 위협 검토 및 안전 조치를 취하지 않았고 외부에서 VPN을 통해 내부망의 파일과 서버에 접근할 수 있도록 설정된 것으로 확인되었습니다.
또한 개인정보 유출 문제로 151억원의 과징금을 부과 받았던 다른 국내 업체도 전체 가입자의 개인신용정보를 고객 동의 없이 타 서비스에 제공한 사실이 적발되기도 했습니다.
금감원은 해당 국내업체가 2018년 4월부터 매일 한 차례 타 서비스 업체에 고객 신용정보를 제공했으며 2019년 11월부터는 국내 고객이 해외 결제 시 계정 ID, 휴대폰 번호 등 주문/결제 정보와 무관한 개인정보를 타 서비스 업체에 제공해 온 것으로 보고 공식 제제 절차에 착수한다고 밝혔습니다.
사건들을 살펴보면 대부분 부실한 보안 정책, 사용자의 취약한 보안 인식으로 발생된 것으로 보고 있는데요, 정보 유출 사고는 법적 책임, 이미지 실추 등 비즈니스 문제로 이어져 막대한 피해가 발생될 수 있기 때문에 사전에 대응해야 합니다.
* (참고) 유사 피해 사례
- 법원 개인정보 유출 사례 : https://www.donga.com/news/Politics/article/all/20240513/124903764/1
- 랜섬웨어/인포스틸러 악성코드 유포 사례 : https://www.boannews.com/media/view.asp?idx=129713&kind
2. 한솔PNS 정보 유출 사고 대응 전략
외부 사이버 위협에 의한 보안 사고는 국내외 상관없이 지속적으로 발생되고 있습니다. 이러한 사고는 정보 유출, 시스템 중지 등의 피해 뿐만 아니라 컴플라이언스 문제를 발생 시킬 수 있기 때문에 한솔PNS는 보안 사고 예방을 위해 그룹사 전반에 걸쳐 솔루션 도입, 임직원 교육/훈련 등을 적극적으로 시행하고 있습니다.
먼저 2023년 그룹 공통 보안 솔루션을 도입하여 전체 시스템의 주기적 취약점 점검 및 조치를 실행하였고 접근 통제를 통해 침해 공격의 위협을 최소화 했습니다. 또한 이상 확인 시 신속한 추적과 대응으로 확산 방지 및 예방 환경 구축 등 IT 인프라와 사용자의 보안을 강화하였습니다.
그리고 매년 악성메일 모의훈련을 실시하여 사용자들의 보안 경각심을 고취시키고 악성 코드 유입 및 계정/정보 탈취 사고를 예방하고 있습니다. 특히 랜섬웨어는 이메일 스팸, 피싱 사이트, 악성 링크 등을 통해 감염되며 PC 공유 등을 이용하여 확산되기 때문에 정기 훈련을 통해 악성 메일에 대한 판단력을 향상시키고자 노력하고 있습니다.
* (참고) 2024년 악성메일 모의 훈련 이력
또한 그룹 IT Master Plan을 통해 보안 거버넌스 체계와 계열사 보안 정책을 강화하여 정보 유출 사고를 사전에 예방할 계획입니다.