인사이트

DLP가 기업에 필요한 이유
(법적근거/사례포함)

보안 담당자만 아는 DLP(정보유출예방)솔루션의 중요성

보안 담당자라면 누구나 데이터 유출 방지(DLP) 솔루션의 중요성을 잘 알고 계실 겁니다. 하지만 경영진이나 타 부서 담당자들을 설득하기란 쉽지 않죠. 혹시 "우리 회사는 괜찮겠지", "보안에 투자할 여력이 없다"는 말에 답답함을 느끼지 않으셨나요? 이번 포스팅에서는 정보유출에 대한 보안 대책의 필요성을 보안사고 사례를 통해 알리고, DLP 도입의 필요성을 뒷받침하는 법적 근거를 정리해 드리겠습니다.

(왼쪽부터) 물음표를 띄우고 있는 하얀 치마를 입은 여자와 오른손으로 턱을 괴고 고민하고 있는 남색 셔츠의 남자, 검지 손가락으로 턱을 받치고 있고 머리 위에 물음표가 떠있는 여자, 검은 바지를 입고 머리 위에 물음표가 떠있는 남자 (왼쪽부터) 물음표를 띄우고 있는 하얀 치마를 입은 여자와 오른손으로 턱을 괴고 고민하고 있는 남색 셔츠의 남자, 검지 손가락으로 턱을 받치고 있고 머리 위에 물음표가 떠있는 여자, 검은 바지를 입고 머리 위에 물음표가 떠있는 남자

3가지 종류의 보안사고 사례로 알아보는 정보유출 보안 대책의 필요성

1. 이동식매체를 통한 정보보안사고 사례

사건발생 : 2013년 1월

유출규모 : 3곳의 카드사로부터 고객정보 1억 4백만건 유출

유출방법 : K사 직원 박모씨가 카드사 시스템 개발프로젝트를 진행하던 중 카드사 고객 개인정보를 USB에
담아 유출

2024년 K사는 국민카드에 623억과 지연손해금 지급하도록 판결

2. 메신저 애플리케이션을 이용한 정보보안사고 사례

사건발생 : 2020년

유출규모 : 대기업 S사 직원이 주간업보고파일을 91회에 걸쳐 메신저로 타사에 정보제공

유출방법 : 메신저 프로그램을 통해 전송하여 유출

3. 출력물을 통한 정보보안사고 사례

사건발생 : 2021년

유출규모 : 경쟁사에서 이직조건으로 고객정보 반출도록 요청, 경쟁사로 전국 고객정보
(집중관리고객, 재가입 고객등) 모두 유출됨

유출방법 : 종이문서 출력을 통한 유출

위의 3가지 사례는 뉴스기사를 조금만 찾아봐도 나오는 유명한 보안사고입니다. 회사의 소중한 정보는 USB같은 이동식매체, 카카오톡같은 메신저 프로그램, 출력물 등 사내에서 사용되고 있는 다양한 매체를 통해 유출될 수 있지만 각 매체에 대한 보안대책마련이 제대로 이루어 지지 않았기 때문에 보안사고가 발생하게 되었습니다, 보안대책이 없다는 것은 집안의 대문을 그냥 열어두는 것과 마찬가지라고 볼 수 있는데요. 지금 회사에 유출되면 안되는 정보가 있다면 반드시 보호하여 지키셔야 합니다.

밝은 스킨톤 배경에 왼쪽부터 두꺼운 책 위에 놓여진 디케(dike)의 저울, 가운데 갈색 판사봉,오른쪽 검은색에 노란색으로 LAW라고 적힌 법전 밝은 스킨톤 배경에 왼쪽부터 두꺼운 책 위에 놓여진 디케(dike)의 저울, 가운데 갈색 판사봉,오른쪽 검은색에 노란색으로 LAW라고 적힌 법전

DLP(Data Loss Prevention)솔루션을 도입해야하는 법적 근거 4가지

1. 개인정보 보호법

개인정보 보호법은 개인이 자신의 정보를 스스로 관리하고 통제할 권리를 보호하기 위해 만들어졌습니다.

(1) DLP필요 관련조항은?

제24조의 2항(주민등록번호의 처리 제한) 정보통신서비스 제공자 등 대통령령으로 정하는 자는 주민등록번호를 처리하는 경우 해킹, 컴퓨터 바이러스 등으로 인한 개인정보의 유출·훼손을 방지하기 위하여 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.

제28조 (개인정보의 기술적, 관리적 보호조치) 개인정보처리자는 개인정보를 안전하게 관리하기 위해 기술적, 관리적 보호조치를 취해야 한다.

제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 한다.

시행령 제30조(개인정보의 안전성 확보 조치) 개인정보처리자는 법 제29조에 따라 다음 각 호의 어느 하나에 해당하는 조치를 하여야 한다.

1.

개인정보의 암호화

2.

접근통제

3.

접속기록의 보관 및 점검

4.

악성프로그램 등 방지를 위한 보안 프로그램의 설치 및 운영

5.

그 밖에 개인정보의 안전성 확보에 필요한 기술적, 관리적 조치

(2) 적용대상

공공기관 : 국가기관, 지방자치단체, 공공단체 등

민간기업 : 영리 목적의 사업을 하는 법인, 개인사업자 등

개인 : 취미 및 친목 등 비영리 목적으로 개인정보를 처리하는 경우에도 일정 요건 충족시 적용

(3) 위반시 과징금 등 처벌사항

형사처벌 : 5년 이하의 징역 또는 5천만원 이하의 벌금

개인정보 유출시 2년 이하의 징역 또는 2천만원 이하의 벌금

과징금 : 위반 행위의 중대성과 지속성에 따라 결정되며 관련 매출액의 3% 이하

과태료 : 항목에 따라 최대 1천만원 또는 최대3천만원

시정명령 등 행정처분 : 개인정보 처리 정지, 개선권고, 자료삭제 등

손해배상 책임 : 위반 행위로 인해 발생한 손해에 대한 배상 책임

2. 정보통신망 이용촉진 및 정보보호등에 관한 법률

우리에게 정보통신망법이라는 이름으로 익숙한 이 법률은 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하기 위해 만들어졌습니다.

(1) DLP필요 관련조항은?

제28조(개인정보의 보호조치) 정보통신서비스 제공자 등은 이용자의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 다음 각 호의 어느 하나에 해당하는 조치를 하여야 한다.

1.

개인정보를 안전하게 처리하기 위한 내부관리계획의 수립·시행

2.

개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

3.

개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용

4.

접속기록의 위조·변조 방지를 위한 조치

5.

악성프로그램 방지 등을 위한 보안 프로그램의 설치 및 운영

제45조(개인정보의 보호조치 등) 정보통신서비스 제공자는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다.

(2) 적용대상

정보통신서비스 제공자 : 인터넷 서비스 제공자(ISP), 온라인 플랫폼 운영자 (예: 네이버, 카카오), 콘텐츠 제공자 (예: 유튜브, 넷플릭스), 모바일 애플리케이션 제공자

정보통신망을 통해 영업을 하는 자 : 전자상거래 업체 (예: 쿠팡, 11번가), 전자금융업체 (예: 인터넷 뱅킹, 모바일 결제 서비스), 온라인 광고업체

공공기관 및 비영리 단체 : 정부 부처, 지방자치단체, 공공기관, 비영리 법인, 시민단체

기타 정보통신망을 통해 정보 및 서비스를 제공하는 자

(3) 위반시 과징금 등 처벌사항

개인정보 수집, 이용, 제공 및 관리 위반시 5년이하 징역 도는 5천만원 이하 벌금

개인정보 유출시 2년이하 징역 또는 3천만원 이하 벌금

개인정보 보호조치 미비시 3천만원 이하 과태

3. 전자금융거래법

(1) DLP필요 관련조항은?

제21조(전자금융거래의 안전성 확보) 금융회사등 또는 전자금융업자는 전자금융거래의 안전성을 확보하기 위하여 금융위원회가 정하는 기준에 따라 다음 각 호의 구분에 따른 보안대책을 마련하여야 한다.

1.

전자금융거래의 기밀성, 무결성 및 가용성을 확보하기 위한 보호조치

2.

전자금융거래의 위·변조 방지를 위한 보호조치

3.

전자금융거래의 안전성을 위협하는 행위에 대한 탐지 및 대응조치

4.

그 밖에 전자금융거래의 안전성을 확보하기 위하여 필요한 보호조치

제45조(개인정보의 보호조치 등) 정보통신서비스 제공자는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다.

(2) 적용대상

금융회사, 전자금융업자, 이용자 등 전자금융거래에 참여하는 모든 주체에 적용

금융회사 : 은행, 증권사, 보험사, 카드사 등 금융상품 또는 서비스를 제공하는 회사

전자금융업자 : 전자지급결제대행업자(PG), 선불전자지급수단 발행 및 관리업자, 전자고지결제업자, 결제대금예치업자, 전자화폐 발행 및 관리업자 등

이용자 : 전자금융거래를 이용하는 개인과 법인

(3) 위반시 과징금 등 처벌사항

형사처벌 : 징역 또는 벌금형

접근매체 부정 사용시 7년이하 징역 또는 5천만원 이하 벌금

과징금 : 위반 행위로 얻은 이익의 3배까지 부과 가능 (금융회사 및 전자금융업자 대상)

영업정지 또는 등록취소 : 금융회사 또는 전자금융업자의 위반 행위가 중대한 경우

손해배상 책임 : 위반 행위로 인해 발생한 손해에 대한 배상 책임

4. 산업기술보호법

(1) DLP필요 관련조항은?

제9조(산업기술의 보호 및 유출 방지 조치) 국가 및 지방자치단체는 산업기술을 보호하기 위하여 필요한 조치를 강구하여야 하며, 기업은 산업기술 유출 방지를 위한 보안 대책을 마련하여야 한다.

(2) 적용대상

국가 핵심기술 : 반도체, 디스플레이, 전력 반도체, 바이오, 자동차, 조선 등 경제와 안보에 중요한 영향을 미치는 기술로 현재 73개 기술 지정

일반 산업기술 : 국가 핵심기술에는 해당하지 않지만, 기업이 영업활동을 위해 개발한 기술로, 영업 비밀에 해당하는 기술이 주 보호 대상

(3) 위반시 과징금 등 처벌사항

국가 핵심기술

유출 : 최대 15년 이하의 징역 혹은 15억원 이하의 벌금 부과

침해 : 5년 이하의 징역 또는 5억원 이하의 벌금

일반 산업기술

유출 : 15년 이하의 징역 또는 15억 이하의 벌금 (해외 유출시 가중 처벌)

침해 : 7년 이하의 징역 또는 7억원 이하의 벌금

과징금

위반 행위로 얻은 이익의 3배까지 부과 가능

징벌적 손해배상

손해액의 3배까지 배상 책임

밝은 샌드베이지 컬러의 배경에 가운데 파란색 큰 방패안에 주황색 자물쇠가 있고 오른쪽에 무릎을 구부정거리고 큰 열쇠를 들고 서 있는 파란색 정장을 입은 남자가 있는 이미지 밝은 샌드베이지 컬러의 배경에 가운데 파란색 큰 방패안에 주황색 자물쇠가 있고 오른쪽에 무릎을 구부정거리고 큰 열쇠를 들고 서 있는 파란색 정장을 입은 남자가 있는 이미지

기업에서 가장 쉽게 보안대책을 만드는 방법, 엑소스피어

엑소스피어는 기업에 필요한 필수적인 보안기능(백신+DLP)을 하나의 서비스로 통합해 제공하기 때문에 기업의 보안대책을 간편하게 만들 수 있습니다. 기능별로 설정을 클릭 몇번만으로 우리 회사의 보안정책이 만들어 집니다.
악성코드 위협같은 외부위협 방어와 내부정보유출예방이 하나의 서비스에서 모두 가능하니 관리자나 임직원입장에서도 매우 편리합니다. 관리도 간편하고 보안솔루션마다 다른 사용법을 익힐 필요도 없거든요.

우리 회사의 정보유출대책이 궁금하시다면 엑소스피어와 상의하세요

기업의 정보보안,
전문가 수준에서 누구나 손쉽게!

무료체험 시작하기 바로가기 무료체험 시작하기 바로가기