I. Case summary
올해 들어 미국 내의 많은 유수의 신용 카드 회사 및 관련 회사들이 신용 정보 누출 위기를 맞고 있다.
고객신용정보 처리회사인 카드시스템스 솔루션스의 경우 최근에 해커가 자 사의 컴퓨터에 잠입하여 카드 소지자 4천만명의 신용 카드 정보를 빼돌려 외부에 노출시킨 바 있다. 또한 시티파이낸셜 사도 고객 4백만명의 기밀 정보가 담긴 백업 파일을 운반 도중 분실하는 사고를 겪었다. 이 밖에도 미국 내에서 올해 보고된 신용 정보 분실 사고의 사례는 많으며, 이에 따라 신분 위장 절도 등의 범죄 수가 대폭 증가할 것이라는 전망이다. 신분 위장 절도는 소샬번호, 신용카드나 운전면허 등의 개인 정보를 타인이 불법적으로 이용하는 범죄를 일컽는다.
Federal Trade Commision은 99-04년간에 약 3700만명의 미국인이 신분 위장 절도로 인해 피해를 입었으며, 이로 인한 경제적 손실은 매해 526억 달러로 예상한다고 보고했다.
II. Choice point came under fire
잇따른 개인 신상 정보의 유출 사고로 인해 피해를 입은 개인들은 회사를 상대로 법적 대응으로 맞서고 있다.
ChoicePoint사는 소비자들의 개인 정보를 일괄 관리하면서 타회사에 이를 제공해주는 data warehousing company다.
올해 2월에는 고객으로 가장한 절도범들이 ChoicePoint사의 데이터베이스에 침투, 14만명의 고객 신상 정보를 유출시킨 바 있다.
이로 인해 적어도 750명의 피해자가 발생했다고 보고 했다. 사건 발생 이후 피해자들은 ChoicePoint사를 상대로 집단 소송을 하였는데, 패소 시 CheckPoint사는 최대 1억4천5백만 달러 상당의 벌금을 물게 된다.
ChoicePoint사의 고객 신상 정보가 유출된 2004년 4월과 2005년 3월 사이에 자사의 CEO와 사장은 1600만에서 2000만불 상당의 주식을 처분했다.
이 시기 동안에 ChoicePoint의 주식 시가는 무려 15%이나 폭락했다. 일부 주주들은 이들의 주식 매매가 개인 신상 정보의 유출을 통보했던 시점 이전에 이루어졌던 것에 착안, 이들 간부들을 대상으로 securities lawsuit을 했다.또한 지난 2월 미시건에서는 911 상담원들의 개인 신상 정보가 유출되어 상담원들이 피해를 입은 바 있다. 미시건 주 상소 법원에서는 노동 조합이 상담원들의 개인 신상 정보를 관리할 책임이 있었다고 판결했다. 또한 법원은 노동조합이 사고 발생 이전부터 개인 기밀 정보에 대한 관리가 부실하게 이루어지고 있는 사실을 알고 있었음에도 불구하고 이에 적합한 조치를 취하지 않았다는 점에서 과실죄가 성립한다고 전했다이 밖에 고급데이터 전문 판매회사 LexisNexis에서도 지난 4월 310만명이 넘는 등록 고객들의 정보가 유출되어 피해자들이 회사를 상대로 집단소송을 한 바 있다. .
III. Privacy protection
이처럼 고객들의 신상 정보를 유출시킨 회사들은 잇따른 소송들을 피하기 어렵게 되었다. 따라서 회사들은 일단 사전에 정보 유출을 방지해야 하며 사고 발생시에는 신속한 사후 대책을 실행해야 할 것이다.
이를 위해 다음의 6가지 대책 마련이 시급하다.
1. 사후 처리 팀 결성
먼저, 각 분야의 전문가들로 구성된 사후 처리 팀을 만들어 정보 유출 시 다음 4가지 이슈에 대해서 신속히 대응해야 한다.
1) 일반적으로 보험 회사에서는 이러한 사고 발생 시 사태 수습, 대책 마련, 업무의 원상 복귀 등에 필요한 비용에 대해서 손해 배상을 해준다. 하지만 많은 회사들의 경우 이러한 비용들을 관리하고 기록하는 것을 소홀히 하는 경향이 있다.
2) ChoicePoint사의 경우 고객들의 정보를 유출시킨 1차적인 책임 말고도 유출 사실을 고객들로부터 은폐하려 했다거나 고객들에게 통보를 소홀히 했다는 것에 대한 부차적인 책임까지 물은 바 있다.
3) 사태의 심각성을 파악하고 적합한 사후 대책을 마련하기 위해서는 정부 기관과의 긴밀한 협조가 필요하다.
4) 대개의 회사 정보 유출 사고는 언론이나 네티즌들의 집중 조명을 받으며 해당 회사의 이미지에 큰 손상을 입힌다.
2. 통지의 의무 or 책임정보
유출 사고로 피해를 입은 회사는 흔히 소비자들에게 곧바로 이에 대해 통지를 해줘야 되는 법률적 의무 혹은 책임이 있다. 따라서 사건 발생 시 회사가 통지의 의무를 지는지, 아니면 단순히 책임만 있는지에 대한 법률적 검토가 행해져야 한다. 이러한 검토를 하기 위해서는 범죄 발생 지역의 지리적 특징, 유출 정보의 성격, 사고 발생의 배경, 2차 범죄로 이어질 가능성 등의 요소들을 고려해야 할 것이다.
3. 원인 분석과 대책 마련
피해 회사들은 현행 데이터 시스탬에 어떠한 문제가 있는지 분석하고 향후 유사 범죄를 예방할 수 있는 대책을 마련해야 할 것이다. 예방책으로는 정보의 암호화, 데이터베이스의 구조조정, 범죄의 통로가 되는 시스탬 내 요소들의 제거 혹은 통제, 정보 관리 시스탬의 혁신 등이 있다. 또한 피해액을 최소화하기 위해서는 사후관리에 대한 준비에 철저를 기해야할 것이다. 흔히 고객들에게 보내는 통지서가 허술하게 작성되어서 추가적인 피해를 입는 경우가 많다. 만일에 통지문의 서식을 사전에 만들어 놓으면 사건 발생 시 통지문을 더욱 신속히 발송되어서 고객들이 재빠르게 사태에 대응을 할 수 있게 된다.
4. 서비스 제공 회사와의 계약
오늘날 많은 회사들이 비지니스의 성격 상 서비스 제공 회사와 개인 정보를 불가피하게 교환을 해야 하는데, 바로 이 경로가 신분 위장 절도의 타겟이 되곤 한다. 몇몇 법규는 혹 서비스 회사 측의 과실로 인해서 범죄가 발생하였다 하더라도 소비자들에게 통지를 해야 되는 책임은 회사들에게 있다고 명시되어 있다. 하지만 정작 사고 발생 시 서비스 제공 회사가 본 회사를 도와서 사고를 통지한다거나 사태를 수습해야 한다는 규정은 없다. 따라서 향후에 서비스 제공 회사들과 계약을 체결할 때, 다음과 같은 규정을 추가시켜 고객들의 신상 정보 보호에 대한 책임을 공유해야 할 것이다.
1) 정기적으로 서비스 제공 회사 측으로부터 개인 신상 정보의 보호와 관련된 업무에 대한 보고를 받는다.
2) 신상 절도 범죄로 이어질 소지가 있다고 판단되는 서비스 제공 회사 쪽에서의 정보 유출는 신속히 보고 받는다.
3) 서비스 제공 회사의 하청 업체들 쪽에서 발생한 정보 유출 또한 신속한 보고를 받는다.
4) 서비스 제공 회사 측의 과실로 인해 피해가 발생할 경우, 합당한 책임과 보상의 의무를 진다.
5. 감사
개인 신상 정보를 다루는 대개의 회사들은 정보 처리, 리스크 관리, 사후 대책 마련 등을 기준으로 내부∙외부 감사를 받는다. 이러한 감사는 투명한 재무 관리는 물론이고 정보 유출의 리스크까지 최소화시키는 효과가 있다.
6. 전문가 의뢰
K&LNG 등의 법무법인은 다양한 분야의 전문가들로 구성된 특수전문 팀이 있어 신상 정보 유출과 이에 따른 신분 위장 절도 문제와 관련하여 많은 회사들에게 전문적으로 법률적인 자문을 해주고 있다. (담당자: James Lee 변호사 T.310-552-5075)
Subscribe to:
Post Comments (Atom)
3 comments:
개인정보 보호가 매우 중요한 사안이 된 것은 분명하다. 이를 지켜주기 위한 노력을 아무리해도 고도의 지능적인 해커들의 해킹으로 정보가 노출되는 것을 100% 막을 수 없다면 문제 발생을 대비한 신속한 대응책이라도 세우는 것이 중요함을 이 글에서 다시 느낄 수 있었다.
I introduce an article of IT Magazine.
- Privacy is key to new social networking site, Kaioo.
PARIS: As rebel cries go, Kaioo rolls off the tongue more like a yodel than a war whoop.
But the nonprofit organization - registered as a tax-exempt charity - is one of the newest members in the growing revolt against social networking sites that rummage through the personal information of members and turn it over to advertisers.
Kaioo, an invented name inspired by the Greek word for "you," is incubating a new sort of social network from a funky outpost of a former parking garage in Germany, which boasts some of the strictest data protection regulations in the world.
The founders pledge that its mission is to create an international haven from networks like Facebook and MySpace, where advertising and the sales pitch are becoming as elemental a social ritual as flirting. And Kaioo says all the profit it might make from limited advertising will be donated to charity.
"Users want to have an independent, democratic system that they feel is theirs," said Rolf Schmidt-Holtz, chief executive of the music giant Sony BMG, who is financing the initial start-up of Kaioo out of his own pocket with €500,000, or $730,000. "The biggest asset that we have is credibility and this platform can only grow if users feel that this is real and totally independent."
The November start of its online network, www.kaioo.com, coincided with an autumn backlash against Facebook. The fast-growing social network last week bowed to a petition drive of thousands of users demanding easy controls to opt out of new behavior targeting systems that track their off-site shopping and enable advertisers to alert friends on their network about the purchases - essentially turning members into pitchmen.
In the United States, the Electronic Privacy Information Center and the Center for Digital Democracy are both preparing complaints about the practice for the Federal Trade Commission. In Britain - where Facebook attracted more than eight million unique users in October - government data protection authorities are investigating a user's complaint that it is impossible to completely delete accounts because the system permits only "deactivation," meaning profiles linger on the servers.
"Most people on social network sites are not aware of the audience that their data is available to," said Giles Hogben, who is editor of a report on the phenomenon for the European Network and Information Security Agency, or Enisa, advisers to the European Commission. "They encourage people to feel that they're among an intimate set of friends when in fact there could be millions of people reading what they do."
In October, the agency urged an update of European privacy regulations to take into account the emergence of social networks as huge digital warehouses of private information.
A European Commission panel of national privacy experts, headed by the German data protection commissioner, Peter Schaar, are meeting Tuesday in Brussels to settle on its agenda for the next two years. A review of sophisticated data gathering systems or behavioral targeting developed by Facebook and MySpace is likely, according to Hans Tischler, a spokesman for Schaar. "This is only a recent development and it's a very sophisticated way of advertising," said Tischler, who noted that it was too early to say how and when the group would deal with the issue, "but this topic is too important to ignore."
American privacy groups are actually pressing to influence the European panel because they believe they stand a better chance of shaping more aggressive regulations that ultimately could have a global effect.
"What most people don't realize is that a very powerful mechanism - a kind of stealth infrastructure - has been placed at the heart of the digital media experience," said Jeffrey Chester, founder and executive director of the Center for Digital Democracy in Washington. "It's a system to collect a huge amount of data about each and every one of us, to track us wherever we go and to target us."
The backlash against these emerging systems is manifesting itself in different ways. Thousands of Facebook users have signed a petition criticizing behavioral marketing and consumer groups are pressing for a "do-not-track" list for Internet users who want to end monitoring of their online activities to exploit personal endorsements for products.
But those personal recommendations remain highly seductive to advertisers. A November survey of 4,000 consumers in four European countries - Germany, Italy, Spain and France - underlines the impact. Personal recommendations are worth five times the value of advertising, according to the survey conducted by Weber Shandwick and Paul Marsden, because half of the time people follow through on individual endorsements and make purchases.
With computer users becoming unwitting cogs in a virtual advertising machine, organizers of Kaioo decided that the time was right to start an alternative social networking site. On the site's home page, the founders make an emphatic promise: "User data will not be shared with third parties!" And they make another unusual pledge: "All advertising money goes to charity!"
The project, based in Hamburg, is the brainchild of Thomas Kreye, who approached Schmidt-Holtz this year with the idea while he was still a business development executive at the German media company Bertelsmann, a partner in the Sony BMG joint venture.
The project started last month in German and English versions. Schmidt-Holtz said his ambition was global though, and versions in five other languages, including Spanish and French, are in the works.
Schmidt-Holtz said he was talking to potential advertisers and lining up musical acts for interviews, live streaming music or free song downloads. But he underlines that he is recruiting a broad group of artists from different companies so that the project is not considered the preserve of Sony BMG.
"We are independent," Schmidt-Holtz said. "Privacy and protection of data are some of our highest goals."
Those declarations are steps forward, according to privacy advocates, but they say that more could be done.
Hogben, of Enisa, praised Kaioo "because it provides a lot more transparency." Still, his agency is pressing for even more freedom: a system of "portable data" that would allow users to shift data profiles from one social network to another.
In the meantime, about 5,000 users have signed up to Kaioo in its first weeks of life, most of them in Germany. Schmidt-Holtz remains heartened by the response. "The bloggers are normally critical people and they don't like anything," he said. "But we even have people who want to work with us. It's really amazing."
Post a Comment