고객만족경영 완성 위해 CSR 꼭 필요 (뉴욕 BSR컨퍼런스: 김신배사장)

CSR: Corporate Social Responsibility (기업의 사회적 책임)의 약자
BSR (Business for Social Responsibility):  기업의 사회적 책임관련 비영리, 컨설팅 기관으로  매년 세계 최대 규모의 기업의 사회적 책임, 지속가능경영과 관련된 컨퍼런스를 개최해 오고 있다. 회원사로  IBM, 애플, 버라이즌, 나이키 등 250여개의 글로벌 기업이 있으며  SK텔레콤도 지난해 10월에 한국 기업 최초로 가입하였다고 합니다.

  11월 4일부터 7일까지 개최된 ‘BSR 컨퍼런스 2008’은  <지속가능성 : 리더십의 중요성(Sustainability : Leadership Required)>이라는 메인 테마 아래 환경, 경제, 사회, 지속가능경영 트렌드 등 다양한 분야에 대한 논의가 진행되었다고 합니다.  이날 김신배 사장은 총 6회의 강연중 마지막 연사로 등장하여 “변화를 위한 기업의 리더십”이라는 주제로 발표를 진행했습니다.  보안뉴스의 기사들을 뒤적이다..  내용이 좋아서 정리해서 올려봅니다. CSR도 결국은 보안과 연관이 있는 주제라는 생각이 듭니다.  기업이 고객을 위해 책임을 다하는 것!  CSR에 힘을 쓰는 기업이 결국은 보안을 잘 할수밖에 없을 듯합니다. 
 
원본뉴스: http://www.boannews.com/media/view.asp?idx=12462&kind=1

내용 요약:

 SK텔레콤이 2002년 세계 최초로 개발한 컬러링(음악을 이용한 통화연결음)을 통해 전세계 이용자들은 지난 100년간 따분하게 들어오던 기존의 통화연결음에서 해방됐다. 통신서비스 기업으로서 사회에 기여할 수 있는 일차적인 방법은 지속적인 혁신을 통해 고객의 삶의 질을 높일 수 있는 서비스를 개발하는 것이다.

  그러나 고객의 기대 수준은 지속적으로 높아지고 있으며 웹2.0 시대를 맞은 고객들은 수동적인 수용에 그치지 않고 서비스의 기획, 생산, 유통 단계에 까지 자발적으로 참여하고 싶어한다.  이에 따라 SK텔레콤은 고객들이 안심하고 서비스를 사용하게 함은 물론, HCI(Human Centered Innovation) 기법을 활용하여 고객의 니즈를 사전적으로 파악, 고객의 참여와 공유도 유도하고 있다.

   SK텔레콤은 유해콘텐츠로부터 청소년을 보호해야 한다는 사회적 지적을 적극 수용하여 2006년 7월 무선인터넷을 통해 제공하던 성인콘텐츠를 중단한 사례가 있다.   이는 미래 고객인 청소년은 매출 창출의 대상이 아니라 보호의 대상이라는 인식을 함께 한 결과이다.   하버드 대학에서 사례연구 되기도 한 ‘싸이월드’는  서비스 초기부터 실명 인증제를 실시하여 익명성으로 인한 사회적 부작용을 방지하는 효과가 있었다.  올해 2월 론칭한 오픈마켓인 11번가 역시 후발 주자임에도 불구하고 클린 마케팅을 선언하는 등, 건전한 인터넷 환경 조성을 위해 앞장서고 있다.

  향후 경쟁 패러다임은 개별기업간의 경쟁이 아닌 협력사들이 다 포함된, 즉 Supply Chain 에 속한 그룹 간의 경쟁으로 치닫게 될 것이다.   SK텔렐콤은 ‘상생아카데미’ 제도를 통해 협력회사들이 독자적으로 추진하기 어려운 교육 프로그램을 100여개 정도 운영하고 있다.   

  경기가 어려워질수록 고객은 ‘필요한 것’ 보다는 ‘좋아하는 것’을 구매하려는 성향을 보이는 경향이 있다. 고객은 해당 기업이 사회의 건전한 일원으로서 사회적 역할을 제대로 하고 있는지 알고 싶어한다. SK텔레콤은 앞서 언급한 CSR활동을 통해 고객만족을 넘어서 고객행복을 창출할 수 있다고 확신하고 있으며, 우리는 이를 고객만족경영의 완성이라고 보고 있다.  기업의 사회적 책임은 향후 지속가능한 성장과 발전을 위해 필수이다.
 
  SK텔레콤이 모바일 회사라는 특성을 살려 모바일 미아찾기, 모바일 기부, 청소년 문자상담, 재난문자정보 등의 활동을 하고 있을 뿐만 아니라, 페이퍼리스(paperless) 가입신청서를 통해 고객 정보 보호에도 앞장서고 있다.  또한 ‘행복나눔재단’을 설립하여 소외계층에게 일자리를 확보해 주는 사회적 기업의 프랜차이즈 모델을 선보이고 있다.

  국경과 산업간의 경계가 모호해지고 경쟁이 치열해지는 퍼펙트 스톰(Perfect Storm) 상황에서는 지역과 사회에 관계없이 불평등(Inequality)의 문제가 심화 되는 경향을 보이고 있다.  정부의 사회적 보장 시스템으로는 모든 사회적인 문제를 해결하기가 어려운 만큼 시장의 힘과 작동원리를 활용해 사회적 약자를 보호하는 창조적 자본주의(Creative Capitalism)’가 부각되는 것에 대해 전적으로 동의한다.

   SK텔레콤은 앞으로 베트남, 중국 등 이미 진출한 국가에서의 사회공헌활동뿐만 아니라, 전세계에서 일어나고 있는 사회적 불평등 문제에도 관심을 기울일 것이며, 글로벌 시민사회의 일원으로 큰 역할을 해나갈 것이다.   기업의 사회적 책임 활동(CSR)이 비즈니스와 별개가 되어서는 안되며, 오히려 이러한 활동들이 성과 창출에 중요한 역할을 할 것으로 믿어 의심치 않기 때문에 앞으로 고객이 행복해 질 수 있도록 지속적인 리더십을 발휘하겠다.

메신저 쪽지로도 전파되는 변종바이러스들…

  지금까지 흔했던 것은 MSN 채팅창을 통해 특정파일이 전송되는 형태였습니다.  파일을 다운로드 받으면 바이러스에 걸리는 식이였죠..  이따금 악성코드가 들어있는 URL이나  피싱페이지로 연결되게도 했었죠..  하지만 이제 비교적 안전한 것으로 알려진 네이트온과 버디버디등을 통하여도  바이러스가 전파되고 있습니다.  MSN과 달리 쪽지를 이용하여  악성코드가 연결된 URL이 전송되는 특징을 가지고있습니다. 이상한 URL이 쪽지로 날라오면 열지않는것이 최선의 방어책 되겠습니다.

  친구가 보낸 쪽지이기에 별 의심없이 클릭했다가는  큰일납니다.    이상한 URL이 찍혀 발송되어 올 경우 절대 URL을 열어봐서는 안됩니다. 정말 그 친구가 보냈는지 확인해보시기 바랍니다.   이 수상한   URL을 클릭하는 순간 PC에 트로이목마가 설치되는데 이는  주로 게임계정 정보를 탈취할 목적으로 사용된다고 합니다.   문제는 일부 메신저 계정 리스트가 탈취된 상태에서 이를 사용해 계속해서 트로이목마가 숨겨진 URL 쪽지를 뿌리고 있기 때문에 주의를 하지 않는다면 감염이 계속 확산될 수 있다는 점이다.

  시장(?)에 쏟아져 나오고 있는 바이러스가 너무도 많아서 사실상 백신업체에서 대응하는데 한계가 있는 상황입니다.   대부분의 백신은 컴퓨터를 비교적 안전한 수준으로 유지하게 할수있을 뿐  새로운 변종바이러스에 대해선 대응책이 없습니다.  때문에  백신이 설치되어 있다고 안심하지 말고  사용자 스스로가 의심이 가는 URL은 클릭하지 말아야 합니다.

  이외에도 MSN쪽지를 통해 피싱사이트로 연결되는 경우도 있습니다. 사실 새로운 것은 아닙니다만 꾸준히 이루어 지고 있는듯합니다. 피싱사이트의 경우 계정정보를  절취당할수 있어서 매우 조심해야 합니다. 이경우엔 바이러스의 피해는 없게 됩니다. 하지만  PC가 다운되는 것보다는 계정정보를 유출당하는 것이 훨씬 더 큰 위험요소라고 생각됩니다.

  어찌보면 가장 중요한 것은 사용자들의 보안의식이라고 할 수 있습니다.   반드시 URL이나 첨부파일 전송이 이루어질 경우  상대방에게 정말로 보낸것이 맞는지 꼭 확인하는 습관이 필요합니다.  확인하는 습관 하나가 이세상의 모든 백신보다도 더 위력이 있는 보안대책이라고 하면 이상할까요?   

한국타이어 기술유출자 2명 징역 1년 6월

   한국타이어의 기술정보를 경쟁업체에 빼돌린 한국타이어 전 임직원에게 영업비밀의 ‘유출’ 혐의만 인정돼  징역형이 선고되었습니다.    이들은  기술정보를 경쟁업체에 빼돌려 [부정경쟁방지 및 영업비밀에관한법률 위반]으로 구속ㆍ기소되었었습니다.
 
    조모씨 (58)  임직원  징역 1년 6월,  집행유예 3년, 사회봉사 80시간
    김모씨 (43)  실무직원  징역 10월,  집행유예 2년

   재판부는 “조 씨 등이 유출한 정보들은 사내에서 비밀로 분류된 자료들로 영업비밀 유출로 볼 수 있다”고 판결했습니다.  또한 “한국타이어에 오랫동안 몸담으면서 회사가 영업 비밀을 개발하기 위해 노력한 것을 알면서도 유출해 죄질이 좋지 않다”며, “국가기술 수준의 도태는 물론 도덕적 해이마저 우려되므로 엄히 처벌할 필요가 있다”고 설명했습니다.   하지만 “영업비밀의 사용은 이 비밀을 기업 활동에 직ㆍ간접적으로 사용하는 구체적 특정이 가능한 행위를 가리킨다”며, “조 씨가 해당 자료를 수시로 열람ㆍ검토한 것은 사실이지만 이를 사용했다는 뚜렷한 증거가 없어 이 부분은 무죄다”고 재판부는 밝혔습니다.

   국내기업끼리의 정보유출사고가 생기면  대부분   [부정경쟁방지및 영업비밀 보호에 관한 법률]에 의해 처리되는 듯합니다.  해외로 국가의 중요정보가 유출되면 [산업기술의 유출방지및 보호에 관한 법률]에 의해 처리되고 있구요.. 어쨋든 관련 법률을 잘 알고있어야 할 것 같습니다.

   일부 조항을 소개해봅니다……  영업비밀이 무엇인지는 알아야겠죠..  위에서 유출에 관한 유죄가 입증된 것은 사내에서 비밀로 분류된 자료를 유출시켰기 때문입니다.  회사에서 실제로 중요한 자료라고 하더라도  그것이 영업비밀로 명시되지 않고 또 비밀로 분류되어 최선의 노력으로 보호되고 있지않다면  법에 의해 처벌할수 없다고 합니다.

======================================= 
부정경쟁 방지및 영업비밀 보호에 관한 법률
========================================

제 2조(정의)
2.  “영업비밀”이라 함은 공연히 알려져 있지 아니하고  독립된 경제적 가치를 가지는 것으로서 상당한 노력에 의하여 비밀로 유지된 생산방법,판매방법 기타 영업활동에 유용한 기술상 또는 경영상의 정보를 말한다.

[방통위] 정보통신망법 재입법 예고 081008

    내년부터 인터넷 사이트 가입할때  주민번호를 쓰지 않도록 하는 망법개정안을 방통위에서 준비중이라는 기사를 읽게
되었습니다.   이 개정안의 골자는 일정규모이상 사이트의 신규 가입자가 주민등록번호나 대체수단중 하나를 자유롭게 선택, 실명확인
과정을 거친후 회원가입을 하도록 한다는 것입니다. 대체 수단으로는 아이핀, 공인인증서, 휴대폰 인증등이 포함된다고 합니다

 
당초 방통위는 하루 방문자 수 10만명 이상의 사이트에 주민번호 대체수단 제공 의무를 부과할 예정이었으나 최근 개인정보 유출
사고가 계속 이어지면서 그 대상을 대폭 확대하기로 한 것으로 함께 전해지고 있습니다.  아울러 방통위는 이미 사이트에 가입한
이용자가 원할 경우에 저장된 주민등록번호를 삭제한 뒤 대체수단을 활용해 실명확인을 하는 방안도 함께 추진하고 있는 것으로 알려진
상태다.  방통위의 관련 법 시행령 개정안은 규제개혁위원회와 법제처의 심사를 거친 뒤 국무회의 의결을 차례로 거친 뒤 내년에
정식 시행될 예정이라고 합니다. 방통위 홈페이지에 가서 실제 예고문을 확인했는데  예고문의 양이 상당히 많더군요..  ^^  보안관리자님들 께서는 필히 읽어 보셔야 할듯 싶습니다.

  방통위 홈페이지: http://kcc.go.kr
  081008 정보통신망법 재입법 예고안 공지글 및 파일다운로드  <<  링크보기 >>

이 게시글 일부를 발쵀해봅니다.    이 게시물엔  hwp파일로 된 세부 입법예고안이 첨부되어 있습니다.
주민번호 관련글은 48,49 페이지에 수록되어 있습니다.  첨부파일은 114쪽으로 구성되어 있습니다 ㅠ ㅠ
==============================================
◎ 방송통신위원회공고 제2008-56호

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 전부를 개정함에 있어 국민에게 널리
알려 이에 대한 의견을 수렴하고자 그 개정이유와 주요내용을 행정절차법 제41조의 규정에 의하여 다음과 같이 공고합니다.

2008년
10월 8일
방송통신위원회

정보통신망 이용촉진 및 정보보호 등에 관한 법률 전부개정(안) 재입법예고

Ⅰ.
개정이유
개별 법률에 산발적으로 흩어져 있는 정보통신망에 관한 사항을 이 법으로 통합함으로써 체계적인 정책 추진을 가능하게 하고, 급격히
증가하고 있는 개인정보 유출, 불법 유해정보의 유통 등 인터넷 역기능 문제를 예방대응할 수 있는 조치를 정비함으로써 안전하고 건강한 인터넷
이용환경을 조성하고자 함
 이하 생략……..
사용자 삽입 이미지

개인정보보호 실천 결의문

   과거 CRM열풍의 영향으로 기업들은  고객정보를 과도하게 수집해왔습니다.  필요하든 필요하지 않든 다양한 고객정보를 수집했고 이를 마케팅수단으로 활용해왔습니다.  물론 여러가지 효과도 본 것이 사실일 것입니다.   하지만 축적된 고객정보가 이젠 기업을 되려 불안에 떨게 하는 큰 불안요소가 되고 있습니다.  관리되지 않은 고객정보는 오히려 기업에 독이 될수도 있다는 사실을 GS칼텍스는 우리에게 알려주었습니다.
 
  GS칼텍스에서의 고객정보 유출 사건이후  행안부에서는 부랴 부랴 대책회의를 열었고  각 기업의 보안관리자들을 소집해서 집체교육까지 시켰더랬습니다.  교육명은 [민간기업 개인정보보호 실천 결의 대회및 인식 제고 교육] 이었죠..  9월 30일 (화) pm14:30부터 17:50 까지 코엑스 그랜드 볼룸 103호에서 진행되었었습니다.  행안부 주최, KISA 주관이었구요.. 아는 분이 참석했는데   현장에서 개인정보보호 실천 결의문까지 함께 결의했다고 합니다.

  아래에 결의문을 개제해봅니다. 아래 내역은 모든 보안관리자들이 알고  실천해야 할 부분이기도 하고  또 행안부에서 의지를 가지고 실행하려고 하는 내용이니깐  알아두시면 좋을듯 합니다. ^^  보안관리자 교육에 포함시켜도 좋을듯 싶습니다.


 개인정보보호 실천 결의문

  최근 개인정보 유출사고가 빈번히 발생함에 따라 사회적 혼란과 정보화 사회에 대한 신뢰를 저하시키고 있다.  이에 우리는 고객의 개인정보보호를 강화함으로써 창의적이고 안전한 선진 정보화 사회를 구현하기 위해 다음과 같이 결의한다.

하나. 우리는 개인정보 관리 책임자를 지정한다.
하나. 우리는 개인정보 취급방침을 고객들에게 알기 쉽게 안내한다.
하나. 우리는 업무에 필요한 고객정보를 최소한으로 수집한다.
하나. 우리는 고객의 정보를 정당한 방법으로만 수집한다.
하나. 우리는 고객에게 안내했던 목적으로만 개인정보를 이용한다.
하나. 우리는 보유기간이 만료된 개인정보는 즉시 폐기한다.
하나. 우리는 개인정보가 유출 훼손되지 않도록 안전성 확보에 최선을 다한다.

 

대형 유통업체, 거래업체통해 매출정보 유출

▶ 누가  대형유통업체의 매출정보를 빼내갔나?
  롯데와 현대, 신세계, 갤러리아 등 대형 백화점과 이마트 등이 공정거래위원회로부터 총 13억7000만원의 과징금을 부과받았습니다.  거래하는 납품업체를 통해서 경쟁 유통업체의 매출 정보를 빼내는 등 불공정거래 행위를 해온것이 드러났기 때문입니다.     롯데백화점은 경쟁사 매출정보 부당 취득과 입점방해 행위로 7억2800만원의 과징금을, 현대백화점과 신세계백화점은 경쟁 백화점 매출정보 부당 취득 행위로 각각 3억2000만원의 과징금을 내게 됐다.

▶ 어떻게  매출정보를 빼내갔나?
  공정위가 전한 바에 따르면 롯데와 현대, 신세계는 납품업체로부터 계정과 패스워드를 얻어 경쟁 백화점의 전자상거래시스템 전산망에 침입, 하루 판매량과 팬매금액, 할인행사 실적 등 경쟁사의 각종 매출정보를 무단으로 빼냈다고 합니다.

▶ 각 기업에 주는 시사점은 무엇인가?
  1. 업체 관리감독의 강화
  유통업체가 아니라 하더라도 모든 산업분야에 이런 사례를 좋은 경계가 된다고 생각됩니다.  아웃소싱을 통해 좀더 효율적인 경영을 하고자 하는 기업들이 많기 때문에  협렵업체 또는 거래업체들에게 일정부분 기업의 정보와 네트워크를 오픈할수 밖에 없는 현실입니다. 이들 업체를 어떻게 관리감독할 것인가 하는것은 중요한 문제로 대두되었습니다.
    아래의 요소들이 필요할 것으로 보여집니다.
   – 업무상 취득한 정보를 다른곳에 유출하지 않도록 보안서약서를 쓰게 하는것
   – 관계 업체들에 대한 관리감독 책임을 명확하게  담당직원에 부여, 정기 감사를 받게 할 것
   – 관계 업체에 대한 보안교육 강화

  2. 보안 정책의 강화
  도급직원이나 협력업체 직원들에게 계정을 발급하고 일정 데이타에 대한 접근권한을 부여하게 되는데  이것이 잘 관리되어야 합니다.
    이를 위해선 아래의 요소들이 필요할 것 같습니다.
   – 계정관리의 정확성: 계정발급및 폐기절차가 보안요구수준에 부합해야함.  계정유효기간 제한/ 정기 비번변경
   – 권한관리의 적절성:  꼭 필요한 만큼의 최소한의 권한만 부여하는 것이 필요 (Least Privilege)
   – 어플리케이션단의 정확성:  제한된 인터페이스가 제공되어야 함 (Restricted Interface), 권한제어만으로는 부족함.

기사원문: http://www.boannews.com/media/view.asp?page=&gpage=&idx=11244&search=&find=&kind=13

  

개인정보 다량 취급 업체 실태점검, 법적 규제 강화

   행안부에서 개인정보 다량취급업체를 대상으로한 실태점검을 실시하며 법적 규제 강화할 예정이라고 합니다. 행안부 사이트에 관련 보도자료가 공개되었으며  언론에도 게재된바 있습니다.  보도자료 원문은 HWP파일도 작성되어 있으며  아래의 글은 보도자료를 기초로 해서 정리해본것입니다.
<< 행안부사이트에서 보도자료 보기 >>
행안부 사이트: http://www.mopas.go.kr

▶ 추진 배경
  GS칼텍스 개인정보 유출사고와 관련하여  방송통신위원회, 금융위원회, 지식경재부, 한국정보보호진흥원 등 관계기관 및 정보화 추진 실무위원등 전문가와의 합동회의가 2008년 9월 9일 열렸습니다.  올해들어 굵직굵직한 개인정보 유출사고가 빈발하고 있어서 예견된 일이었다라고 생각이 듭니다.    합동회의 결과  개인정보 다량 취급사업자 개인정보 유출방지 대책을 마련하고 , 신속히 추진하기로 하였다고 합니다.  이번에 문제가 발생한 GS칼텍스의 경우는 개인정보보호 관련 법령을 적용받지 아니하는 업체라는 점에서 개인정보 보호에 관한 법적 관리체계의 정비가 필요했다는 것이죠..

▶ 대책 개요
  개인정보를 다량 취급하는 업체에 대한 지도점검과 개인정보 보호 교육, 법/제도 개선방안등 제안하였습니다.

▶ 대책 세부 내용 (보도문에 있던것을 정리하였습니다.)
  1. 범부처적인 개인정보 개인정보 실태점검을 추진한다.
     –  10월까지 현행 정보통신망법, 신용정보보호법등 개인정보보호 관련 개별 법률을 적용받고있는 사업자에 대하여 소관부처에서 개인정보관리 실태 전반을 점검 
     –  법 위반 사업자에 대해서는 시정명령, 과태료, 형사고발 추진 등 행정제재와 함께 위반사실을 언론등에 공개한다.  (형사고발도 그렇지만…  언론에 공개하는것이 가장 무서울듯하군요… 요즘 워낙 민감한지라… 아래 사업자군에 해당되신 분들은  대책을 세우셔야 할듯 싶습니다.)
     – 정보통신망법에 포함되는 사업자군:
        유/무선 통신사, 초고속인터넷업체, 포털등 정보통신사업자, 여행업, 호텔업, 항공사, 학원, 교습소, 휴양콘도미니엄업, 할인점,백화점, 쇼핑센타, 체인사업자등 준용사업자  (안들어가는게 별로 없군여…^^)
     – 신용정보의 이용및 보호에 관한 법률에 포한되는 사업자군: 은행, 보험사,증권사

  2. 사업자의 인식제고를 위한 교육을 실시한다.
    – 9월중 관련 사업자 협회등과 연계하여 개인정보보호 교육을 실시하고  개인정보보호 메뉴얼을 제작 배포

  3.  정보통신망법 적용 대상 업체를 확대하여 법적 관리체계를 강화한다.
    – 다량의 개인정보를 취급하고 있으면서 개인정보보호 관련 법령을 적용받지 아니하는 업체 (정유업체, 결혼중개업체, 대형서점) 등에 대하여는  관계부처와 협의를 거쳐 정보통신망법상 개인정보보호 의무를 따르도록(준용사업자) 시행규칙을 개정하여 개인정보보호법 제정 전까지는 정보통신망법상 개인정보의 수집ㆍ이용ㆍ제공 시 동의, 개인정보시스템에 대한 접근권한통제 등 개인정보보호 의무를 적용

   4.  개인정보 보호법 연내 개정을 적극 추진한다.
    – 공공ㆍ민간의 모든 개인정보처리자에 대하여 개인정보 수집ㆍ이용ㆍ제공 등 단계별 보호기준을 제시하고, 개인정보 보호를 위한 관리적ㆍ기술적 보호조치 의무를 적용토록 할 계획이다.
    –  동법에 따라 개인정보의 제3자 불법 매매, 무단 유출 시 형사처벌을 강화하고, 개인정보처리 위탁시 수탁업체의 자격ㆍ기준, 관리ㆍ감독, 유출 시 배상책임을 엄격히 규정할 계획이다

▶  행안부의 중점 강조 사항
    1. 대량 개인정보 유출의 재발방지를 위해서는 기업CEO차원의 적극적 관심과 의지가 절대 필요하다.
    2. 개인정보를 다량관리하고 있는 업체는 다음의 사항을 점검및 관리/감독해야 한다.
       –  개인정보의 암호화 여부
       –  DB에 대한 접근 권한
       –  제반 보안조치를 전면 재점검
       –  개인정보처리 위탁하고있는 수탁업체의 적격정 확인,  관리/감독 강화

‘인터넷 윤리’의 초/중/고교 정규 교과과목 추진

  ‘인터넷 윤리’를 초ㆍ중ㆍ고교 정규 교과과목으로 반영하는 방안을 방송통신위원회와 교육과학기술부가 함께 추진한다고 합니다.  인터넷을 통한 음란물 유통과 명예훼손 등이 갈수록 심각해짐에 따라 이를 제도권 교육을 통해 바로잡는다는 취지에서라고 합니다.

  예전에 제가 LG 텔레콤 고객정보 유출사고 기사를 보면서  포스팅한 글dl 생각이 나더군요..   인터넷 윤리의식이란 것이 매우 부족한 현실에  학교교과 과정에 인터넷 윤리과목이 들어가야 한다고  주장(?) 했더랬는데…  실제로 추진되고 있더군요..  저로서는 매우 반가운 소식이었습니다.  오프라인 못지 않게 온라인에서도 책임감을 느끼고 윤리의식을 느끼는 것이 꼭 필요하다고 봅니다.
  예전에 포스팅한 글:   http://w-security.net/entry/lgtel-info-ethics 

▶ 방송통신위원회에서 초/중/고  인터넷 윤리과목 반영 계획
  10일 방송통신위원회는 국회 문화체육관광방송통신위원회 업무보고에서 “초ㆍ중ㆍ고교 청소년을 대상으로 인터넷 윤리특강 등 교육을 실시하고 교과부 등과 협의해 정규 교과과정으로 반영될 수 있도록 추진하겠다”고 밝혔습니다. 

▶ 초/중/고 교사 대상 인터넷 윤리특강 실시하다
  방통위는 지난달 한국인터넷진흥원과 함께 초ㆍ중ㆍ고 교사를 대상으로 인터넷 윤리특강을 두 차례 실시했습니다. 교사들이 인터넷 윤리에 대한 기본적인 정보를 얻어 이를 현실 교육에 반영하기 위해서라고 합니다.

▶ 초/중/고 청소년대상으로 인터넷 윤리특강 확대 예정
  방통위는 다음달부터 인터넷 윤리특강 대상을 교사에서 초ㆍ중ㆍ고 청소년으로 확대해 이들에게 직접 윤리교육을 할 계획입니다.  파일럿 성격의 교육이라고 볼 수 있을 것 같구요.  이런 과정을 거쳐서 정규과정으로 자리잡도록 할 계획인듯합니다.

  교과과정에 들어간다고 해서 바로 뭐가 나아지거나 하는 것은 힘들거라 봅니다만  그래도 어떤 계기는 주지 않을까 싶습니다.  사회,문화적으로  이런 인터넷 윤리에 대한 운동들이 필요할 것 같습니다.  그리고  제도적인 지원 또한 필요하구요…

  인터넷의 자유로움을 침해하지 않으면서  인터넷 윤리의식이 잘 자리잡기를 바래봅니다.   남을 배려해주는 것이 바로 나자신을 배려하는 것이라는 것을  잊지 않아야 겠습니다.  

=================================================
이글은 매경의 기사를 바탕으로  정리해본것입니다.
원문링크: http://news.mk.co.kr/outside/view.php?year=2008&no=558997

GS칼텍스 고객정보 유출을 정리해보았습니다

올해 들어서 발생한 정보유출관련 사건중 최대가 될 이번 사건에 대해 정리해 보았습니다.  여기저기 신문기사를 모조리 집약해서 다시 정리해보니  상황이 조금 보이는듯 합니다.   실제로 유출된 GS칼텍스
고객정보의 내용은, 보너스카드 회원 1,107명의 정보로써
성명, 주민번호, 주소, 회사
전화번호, 이메일 정보라고 합니다.

 

▶  GS칼텍스 고객정보 유출사고의 전모:

  사건의 본질은 
고객
DB
조회할수있는 권한을 지닌 내부 직원이 외부자와 공모해 영리를 목적으로 고객의
DB를 유출한 사건입니다.

 

7월초:
GS
넥스테이션의 직원 정모(28)씨는 왕씨(고교동창생), 김씨(후배) 등과 미리
범행을 모의하였음

         
GS
칼텍스 자회사에서 시스템
및 네트워크 관리를 맡고 있던 정모씨(28)는 올해 7
초 고교동창생 왕모씨(28)에게 업무중 갖고 있던 일부 고객정보를 보여주었습니다.  
그들은 이 정보를 이용할 방법을
찾던 중 사진 스튜디오에서 근무하던 사회후배 김모씨(24)를 만나
돈이 될 것 같다는 얘기를 듣고 정보유출을 본격적으로 모의하게 됩니다.

       

7월 ~8월정씨는 한달 여 동안 GS칼텍스 보너스카드 고객 데이터베이스(DB)서버에 접속해 주민등록번호와 성명, 주소, 자택 및 휴대전화번호, 이메일 정보 등
개인정보만 꾸준하게 추출해 냈다고합니다. 이과정에서 상급자의 결재를 받아서  백여차례에 걸쳐서 계획적으로 고객정보를 빼내었습니다.(사무실내 자신의 업무용 PC를 이용하여 수백차례에 걸쳐 복사해 다른 파일로 저장하였다고 합니다. )

     
사건 초기 GS칼텍스 측은고객 정보를 다운로드하는 기능 자체가 없어 PC에 데이터를 내려받을 수 없다고 자체사고 가능성을 부인했지만 
경찰관계자는 “DB를 직접 다운받을 수는 없었지만, 복사라는 간단한 방법으로
데이터를 PC에 내려받을 수 있었다고 설명했다.

 

8월 29일: 정씨가 빼낸 고객정보를  GS넥스테이션 여직원 배모(30)씨가  엑셀파일 형태로 변환하였고 이를 왕씨와 김씨는
새로운
DVD 6장으로 복사함

8월 29일~9월 1일왕씨와
김씨는 고객
DB
판로 모색함

9월 2일김씨는 유흥가 뒷 골목에서 DVD를 주웠다 3
언론사 관계자와 접촉하여 제보함.

   정씨 등은개인정보 유출 사건이 사회적 이슈로 떠오르면 자신들이 갖고있는 정보의 가치는 더욱 커진다고 판단해
언론사 접촉에 나섰다고 합니다.

   경찰 관계자는 여러군데 판로를 모색하다 어렵게 되자 개인정보 유출
문제가 이슈화하면 정보가치가 올라갈 것으로 판단해 언론에 허위 제보한 것으로 보인다
고 말했습니다정씨는 고교동창생 왕모(28)씨의 사회후배인 김모(24)씨를 시켜 92일 서울 시내 모 식당에서 모 언론사 기자, 방송국 PD, 무가지 신문 기자 등 언론인 3명을 만나 DVD를 건네주며
강남 역삼동 유흥가 골목 쓰레기 더미에서 주웠다는 내용의 허위제보를
전달했다고 주장하고 있습니다.


   결국 95일 모 언론사를 통해 보도된 DVD의 존재는 경찰수사의 출발점이 되었습니다.   경찰은 고객 정보가 내부 직원을 통해 유출됐을 가능성이 크다고 보고 DB 접근 권한을 가진 직원을 상대로 수사를 벌이다 정씨의 PC 하드디스크가
기사가 나간 당일 교체된 점 등을 의심해 집중 수사를 벌였다고 하구요.  사건 초기 정씨는 혐의를 부인했지만
경찰이 자신의 컴퓨터 하드디스크가 교체됐고 유출 CD 정보구조와 그가 사용하는 데이터구조가 동일한 점
등 물적 증거를 들이대자 범행을 털어놨다고 합니다.  정씨는 현재 이들 외에 추가 유출은 없다고 진술하고
있으나 경찰은 액면 그대로 받아들이기 힘들다는 입장입니다유출시점이 다소 지난 점, 범행 은폐를 시도한 점, 동기가 돈이 목적이었던 점 등으로 미뤄
어떤 식으로든 이미 유출이 이뤄졌을 가능성도 배제할 수는 없다는 뜻입니다검찰은 이에 따라
이들의 여죄와 추가 공범을 캐는 동시에 피해를 최소화하기 위한 작업을 벌이고 있다고 합니다.

 

 

▶ 고객들에게 주는 영향

  경찰은 이들이 빼낸 정보가 시중에 유통됐을 가능성에
대해서도 수사를 벌이고 있습니다. 이들이 정보를 유통했을 경우 명의도용이나 금융사기 등 범죄에 이용될 가능성도
커 대규모 2차 피해도 우려됩니다

▶ 개인정보 유출 확인 페이지

  GS칼텍스 측은 이날 오후 330분부터
회사홈페이지(www.gscaltex.co.kr)
및 마케팅사이트(www.kixx.co.kr)에서
본인의 정보유출 여부를 확인할 수 있도록 했습니다.

 

▶ 관계자 처벌 현황

N사 대표: 형사입건,  

시스템/네트웍담당직원 정모씨, 왕모씨 (정모씨 친구)김모씨 (왕모씨 후배): 검거 (구속영장신청

N사 여직원: 불구속

 

  현행 정보통신망보호법은 이용자의 개인정보를 취급하고
있거나 취급했던 자는 직무상 알게 된 개인 정보를 누설해서는 안 되며 알면서도 이를 영리 또는 부정한 목적으로 제공받을 경우 5년 이하의 징역이나 5000만원 이하의 벌금에 처하도록 규정하고
있다

 

▶ GS칼텍스에 미치게 될 영향
1. 소송으로 인한 배상금 지급

   현재 인터넷카페를 중심으로 단체소송이 준비되고 있습니다.

네이버 카페 (종합법률사무소
백로
)지난 4월 포털사이트 네이버에 옥션 개인정보
유출 사건 관련 카페를 개설, 집단소송 활동을 진행해 온
종합법률사무소 백로의 백승우 변호사는 카페 공지사항을 통해 7일 오후 2 (GS칼텍스 고객정보 유출 사건 관련) 경찰의 중간수사결과 발표 역시
내부자 소행으로 밝혀졌다

GS칼텍스
또는 GS칼텍스로부터 고객정보를 관리 위탁받은 자회사 중 적어도 한 회사는 이번 1100만명 개인정보 유출 피해에 대한 책임을 지게 됨이 명백해졌다
고 집단소송에 나설 것임을 분명히 밝혔습니다소송 청구금액은 1인당
100
만원으로 책정해 소송을 제기하되 향후 수사결과나 증거조사 결과 밝혀지는 유출의 과정이나 경위 등을 살펴 증액하는 방안도 고려
중에 있다고 밝혔습니다.

 

다음 카페 (법률사무소
동국
):  이뿐만 아니라
법률사무소 東國의 이동국 대표 변호사 역시 7일 포털사이트 다음 카페를 통해 GS칼텍스 관련 집단소송 인단을
모집하기 시작했습니다.

이 변호사는 공지사항을 통해 과거 정보유출 사건과 관련해 리니지 사건 10만 원, 국민은행 사건 20
, LG 사건은 70만 원을 각각 배상하라는 확정 판결이
있었다

금번 GS칼텍스 사건은 직원이 불법으로 개인정보를 CD에 복사해 유출한
것으로, 발견된 CD뿐만 아니라 다량의 CD가 있을 것으로 판단되므로 회원들의 피해 가능성이 농후하고 소송에서 승소할 가능성이 매우 크며 다른 사건들보다
배상액수도 더 많을 것으로 보고 있다
고 밝혔습니다이 변호사는 진행상황에 따라
약간의 변동은 있겠지만, 개인당 청구금액을 1인당 200만 원으로 생각하고 있다고 밝혔습니다.

 

1100만명이 전부 소송에 참여하고 승소하여   100만원씩 배상을 받게 될 경우 회사측은 11조원의
배상금과  소송비용을 지불해야 합니다.

2. 회사의 브랜드 가치 하락과 회원탈퇴및 매출 감소

  사실 이것이 가장 무서운 것이라고 생각됩니다. 고객정보 유출의 경우 대외적인 회사의 신뢰도를 크게 떨어뜨리며 다수 회원의 탈퇴및 매출하락으로 이어집니다.  특히 온라인 사업을 하는 경우엔 회사의 존속에 위협을 줄 수 있는 정도의 타격이 예상됩니다.

 

GS칼텍스의 현 보안수준:

1.
DB
조회 권한제한및 보안절차: 최소한의 업무담당자만 정보에 접촉권한을 가짐, 조회로그를 남기고  검색이 가능했음 (권한자
12
명으로 제한되어 있었음)

2. 부족한 관리자/사용자 교육비밀
유지서약서를 받는 등의 비교적 평범한 보안 수준

3. 모니터링 및  감사활동 부족회사
직원이 두 달 동안 수십 차례에 걸쳐 개인 컴퓨터에 고객 정보를 내려 받았고  USB CD롬에 담아 외부로 빼냈지만, 회사는 이를 눈치 채지 못했습니다.

4. 암호화 미도입: 고객
정보가 암호화되지도 않아, 특별한 기술이 없이도 손쉽게 손에 넣을 수 있었습니다

 

GS칼텍스측의 대책발표

1. 데이터베이스 암호화
10
월말까지 완성

2. 보안USB 도입

3. 회사 및 자회사에 대한 보안교육 강화

타 기업에 주는 보안 의미및 대책

1. 보안절차가 정리되어 있다하더라도 모니터링/ 감사 되어 지지 않으면 의미가 없다.

2. 로그를 잘 보관하고  근거를 남기는 것으로는 불충분 하다. 중요 길목은 차단해야 한. 일단 유출되고 나면  이미 심대한 타격을 입었다. 데이타는 복구가능할지 모르나  기업의 가치는 복구하기가 심히 힘들다. PC에 내려받은 데이타의 외부 유출 통로를 제거해야 한다. (CD/USB/웹하드/메일등을 차단)
3. 보안에 대한 책임소재를 분명히 하고 실재로 책임을 지는 시스템이 필요하다.
4. 가장 좋은 보안 교육은  모니터링되어진 내용을  사용자들에게 피드백해주는 것이다.
5. 고객DB를 조회하는 모든 시도는 로그로 남겨야 하고  최소한의 인원으로 제한해야 하며 정기 감사가 필요하다.
6. 고객정보를 PC에 보관할수 없도록 교육하며 실제 감사활동으로 고객정보가 PC에 보관된 것을 적발하여 처벌할 필요가 있다. (고객데이타의 패턴을 검색하여  감사해주는 솔루션 도입할 필요가 있음.
 

콜드부트 공격 – 꺼진 컴퓨터의 램에서 암호화키도 빼낸다

  콜드부트 공격이라는 PC암호프로그램을 뚫을 수 있는 새로운 해킹기법이 등장했다고 합니다.

   이 기법을 발표한 곳은 프린스턴 대학의 일렉트로닉 프론티어재단(EFF)으로서  20일 뉴욕에서 열린 ‘지구상의 해커들(HOPE)’ 콘퍼런스에서 콜드부트 공격에 대해서 소개했다고 하는군요..

  콜드부트 공격이란 컴퓨터 전원을 끈 직후 메모리를  직접 해킹하는  방법을 말합니다. 
흔히들 컴퓨터의 전원을 끄면 메모리의 내용이 전부 삭제되는 것으로 알고있는 상황에서
이것이 정말 가능한 것인지 의아한 생각이 들었답니다.

  하지만  실제로 컴퓨터 전원을 끌 경우 전원이 꺼진 후에도 메모리에 데이터가 일정 시간 저장된다고 합니다.  암호화프로그램이 종료된다고 해도  메모리엔 암호화가 해독된 상태로 데이타가 남아있기 때문에   여타의 보안프로그램이 설치되어 있다고 하더라도 이런 보안프로그램을 우회해서 암호화된 데이타를 볼수가 있게되는 것이죠.. MS의 비트라커, 애플의 파일볼트등 모든 보안프로그램에서 공통적으로 나타날수 있을 것 같습니다.

 물론 이 방법은  암호화된 노트북이  전원이 켜진 상태에서 해커에 의해 도난 당해야 합니다.  ^^   해커는 노트북 전원을 끄고   즉시 메모리에 남아있는 암호화키를 메모리 분석프로그램으로 알아 내게 됩니다. 그리고 나면  시스템 내부에 있는 암호화된 데이터를 빼낼 수 있게 되는 것입니다.

  EFF는 “해커가 메모리의 데이터를 좀 더 오래 유지하기 위해 액체질소를 이용한 냉각 스프레이 등을 이용해 메모리 칩을 ‘차게’ 유지할 수 있다”며 “영하 50도로 메모리의 온도를 낮출 경우 10분이 지나도 대부분의 데이터가 메모리에 유지되며 이 칩을 빼내 다른 컴퓨터에 끼울 수도 있다”고 덧붙였다고 합니다.

참조한 기사 원문 링크: << 파이낸셜 뉴스    >>