개인정보보호 보안 사고 신고
학습 목표
이 유닛을 완료하면 다음을 수행할 수 있습니다.
- 무엇이 개인정보보호 보안 사고로 간주되는지 설명할 수 있습니다.
- 잠재적인 개인정보보호 보안 사고를 식별할 수 있습니다.
- 개인정보보호 보안 사고 발생이 의심되거나 사고가 발생했음을 아는 경우 무엇을 해야 하는지 알 수 있습니다.
보안 사고란 무엇일까요?
유럽 연합(EU), 라틴아메리카(LATAM) 국가, 일본 및 아시아태평양(JAPAC) 지역, 미국(US)의 모든 주 및 영토 등, 전세계의 여러 정부에서는 보안 사고 신고법을 채택했습니다. 최근 미국 대통령은 2022년 미국 사이버 보안 강화법에 서명함으로써 중요 인프라 기업이 중대한 사이버 보안 사고와 모든 랜섬 지불 사안을 국토안보부의 사이버 보안 및 인프라 보안국(CISA)에 신고해야 한다는 법안을 통과시켰습니다.
조직이 어느 국가에서 운영되느냐에 따라 정부, 의료, 에너지, 정보통신 및 금융 서비스 제공자 같은 특정 산업에 적용되는 여러 사고 신고 법률 및 규정이 있으며, 각 법률 및 규정마다 무엇이 보안 사고(또는 데이터 보안 침해)로 간주되느냐에 대한 정의가 다릅니다. 조직에 적용되는 보안 사고 신고법에 따라, 고객 서비스 수준 협약(SLA) 또는 계약서에는 고객 데이터에 적용되는 보안 사고 신고 요건이 포함되어야 합니다.
개인정보보호 보안 사고는 개인 정보 또는 고객 데이터의 우발적이거나 고의적인 무단 사용을 의미합니다. 다음과 같은 일반적인 보안 사고의 예에 대해 생각해 보세요.
- 영업 사원이 고객 데이터가 포함된 이메일을 다른 고객에게 보냄
- 관리자가 입사 지원자의 이력서를 인쇄하고 집으로 가져가는 길에 기차에 두고 내림
- 퇴사한 직원이 조직의 시스템에 액세스할 수 있는 권한을 계속 갖고 있어 고객 레코드에 액세스함
- 인턴이 멀웨어가 포함된 이메일 첨부파일을 열어서 고객 연락처 정보가 삭제되거나 암호화됨
- 공유 드라이브 권한을 너무 광범위하게 설정하여 너무 많은 사람에게 개인 정보 액세스가 허용됨
- 고객의 자격 증명 또는 암호 키가 공개 GitHub 리포지토리에서 노출됨
- 직원의 업무용 기기(예: 노트북 컴퓨터 또는 휴대폰)가 분실 또는 도난됨
- 직원이 피싱 공격에 이용된 이메일에 회신하여 개인 정보를 실수로 공개함
이런 사고는 모두 잠재적인 보안 사고에 해당하며, 조직의 보안팀에 신고해야 합니다.
보안 사고 신고
잠재적인 개인정보보호 사고가 의심되는 경우, 사고가 데이터 보안 침해 또는 보안 사고에 해당한다고 100% 확신할 수 없더라도 즉시 신고해야 합니다. 조직에 연간 보안 의식 교육 프로그램이 있는 경우, 조직에서 수상한 활동이나 의심되는 보안 사고를 신고하는 방법에 대한 최신 정보가 교육에 포함되어 있는지 검토해야 합니다.
사고를 신고할 때는 다음과 같은 정보를 최대한 상세히 제공해야 합니다.
- 일어난 일
- 관련 개인 또는 단체
- 사고가 발생한 시간, 날짜 및 표준 시간대
- 관련되거나 잠재적으로 영향을 받았을 수 있는 서비스
- 후속 질문 문의처
보안 사고 신고 일정
조직은 개인정보보호 사고를 짧은 시간 내에 규제 기관 및 고객과 영향을 받은 개인에게 알릴 법적인 의무가 있을 수 있습니다. 보안 사고를 내부 보안팀에 즉시 신고하여 사고를 조사할 시간을 확보하고 외부 보고에 대한 요구 사항을 충족할 수 있도록 해야 하는 의무도 있습니다. 경우에 따라, 해당하는 당사자에게 개인정보보호 사고에 대해 정해진 시간 내에 알리지 않으면 상당한 벌금이 부과되고 계약 의무의 잠재적인 위반에 해당하며 고객 신뢰를 잃고 조직의 평판이 훼손될 수 있습니다.
따라서 개인 정보 또는 고객 데이터가 노출되는 결과로 이어진 실수를 직접 저지른 경우에도 모든 잠재적인 보안 사고를 즉시 신고하는 것이 중요합니다.
요약
이 모듈에서는 개인정보보호 법률 및 원칙에 대해 간단히 알아보았습니다. 고객 데이터와 이 데이터를 처리할 수 있는 사람을 식별하는 방법에 대해서도 알아보았습니다. 마지막으로, 개인정보보호 사고 신고 요건에 대해 간단히 알아보았습니다.
사이버 보안 직업과 기술에 대해 자세히 알고 싶으신가요? 사이버 보안 학습 허브를 방문하여 다양한 보안 주제를 탐구하고 실제 보안 실무자들의 이야기를 들어보세요.
리소스
-
외부 사이트: IT Governance USA: 주별 데이터 보안 침해 신고법
-
외부 사이트: Siteimprove: GDPR에 따르면 데이터 보안 침해는 무엇이고 어떻게 신고하나요?
-
외부 사이트: JDSUPRA: 중요 인프라 사이버 사고 신고를 의무화할 새로운 사이버 보안법