기업간 거래시 직원 개인정보유출에 따른 2차 피해발생 사례 연구
A Case Study of Employee Privacy leaks and Fraud during B2B transaction
이대영(서울과학종합대학원); 정진홍(서울과학종합대학원대학교)
12권 5호, 501~514쪽
초록
2015년 7월 징벌적 손해배상제도와 법정 손해배상제도 도입 등 한층 강화된 개인정보보호법 개정안이 국회에서 통과되었다. 개인정보유출 및 이에 따른 2차 피해발생시 해당 기업들은 기업의 존속에 영향을 받을 정도로 커다란 손실을 입게 된다. 기업들은 개인정보보호 대상을 고객들의 개인정보에만 치중하지 말고 직원들의 개인정보도 보호 대상으로 확대하여 신중히 관리하여 한다. 본 연구논문의 사례는 해커의 APT 해킹공격에 의해 기업간 거래 담당자의 이메일 계정 정보를 포함한 개인정보가 해킹되고 이렇게 유출된 개인정보를 해커가 도용(Identity Theft)하여 기업간 거래 정보를 빼내고, Man in the Middle 온라인 사기 기법을 사용하여 기업간 거래 대금을 위조된 은행계좌로 입금시키도록 유도한 사기 사건으로서 직원의 개인정보 유출이 기업에 피해를 가져다 주는 좋은 사례이다. 따라서 본 논문은 상기 사례를 시간의 경과에 따라 탐색하고 관찰하며 사건 관계자들과의 면접 자료, 사건과 관련된 기타 문서와 보고서 등 다양하고 상세하며 심층적인 자료를 수집, 분석하여 주제를 파악해 내는 사례연구 방법론을 통하여 기업들에게 적용할 수 있는 다섯 가지 대처 방안을 제시하고자 한다.
Abstract
An enhanced Amendment of Personal Information Protection Law including punitive damages and compensation damages is passed in the national assembly in 2015. Privacy leaks and secondary damage could cause the huge loss which can impact the issue of business permanence. Corporate should widen the scope of the personal information protection to their employee instead of just focusing on their customers privacy. In this paper, We can see that hacker hacked employee personal information including email address by APT attack, Hacker use hacked email credential information to steal B2B trade transaction secrets, Hacker utilize all the information to manipulate the transaction payment to fake Bank Account by Man in the Middle Fraud methodology. This case shows us that employees privacy leak can bring the damage to business in the B2B transaction. Author is suggesting FIVE counter plans as a result of this single case qualitative research methodology which is exploring of the case followed by time line, having interview with relevant personals, analyzing internal documents and reports.
- 발행기관:
- 보안공학연구지원센터
- 분류:
- 인터넷보안