300万条个人信息被盗 LGU+被罚创纪录的68亿韩元罚金
个人信息保护委员会12日表示,已对发生个人信息泄露事故的LGU+处以6.8亿韩元的罚款,并追加处以2700万韩元的罚金。同时,委员会还表决通过了为防止此类事件再次发生而采取的整改措施,包括全面检查系统并改进薄弱环节等。
个人信息保护委员会针对今年1月被黑客公开在非法交易网站上的约60万条(去重后约30万条)LGU+个人信息,一直与官民联合调查团及警方等协作开展调查。
个人信息保护委员会与韩国互联网振兴院(以下简称KISA)的分析结果显示,经确认泄露的个人信息共29万7117条(去重后),泄露项目包括手机号码、姓名、地址、出生日期、电子邮箱地址、账号、USIM唯一编号等共26个项目。在LGU+的多个系统中,所泄露数据与之最为吻合的数据所存放的系统为客户认证系统(CAS),泄露时间被分析为大约在2018年6月。
经确认的主要违法事项之一是,截至今年1月,客户认证系统(CAS)的服务运营基础设施和安全环境对黑客等非法入侵极为脆弱。包括操作系统(OS)、数据库管理系统(DBMS)、网页服务器(WEB)、网页应用服务器(WAS)在内的大部分商用软件,在推定发生泄露的2018年6月时已停产或终止技术支持。
此外,为防止非法入侵和安全事故所必需的入侵阻断系统(防火墙)、入侵防御系统(IPS)、网页防火墙等基础安全设备,要么未安装,要么即便已在安装过程中,也未正确应用安全策略,其中部分设备的技术支持已中断。尤其是,在客户认证系统(CAS)开发环境中,分别于2009年和2018年上传的恶意代码(网络后门)一直残留至今年1月仍未删除,且未对网络后门进行检查,也未在入侵防御系统中应用针对网络后门的检测与阻断策略。
同时,将在CAS生产环境中管理的实际运营数据(包括个人信息)转移至开发环境和测试环境进行测试后,部分数据被放任不管,导致包括2008年生成的信息在内的逾1000万条个人信息在调查时点仍然残留。
管理控制同样十分薄弱。在管理大量个人信息的情况下,未妥善管理个人信息处理人员的访问权限和访问记录,未留下提取、传送大规模个人信息的记录,也未对是否存在异常行为进行检查和确认。
个人信息保护委员会认为,LGU+作为处理众多国民个人信息的有线及无线通信运营商,本应严格管理个人信息,但由于对CAS系统整体管理不善,且与其他公司相比在信息保护和安全方面的投入与努力明显不足,最终导致此次个人信息泄露事故的发生。
个人信息保护委员会还对近3年内存在违反《个人信息保护法》事实的LGU+下达整改命令,要求其强化个人信息保护负责人(CPO)的职责和地位,提高个人信息保护组织的专业性,重新确立个人信息内部管理计划,并对整体系统进行检查和改进薄弱环节等。
个人信息保护委员会相关负责人表示:“此次措施虽被分析为因2018年6月发生的泄露事件而起,但由于相关系统管理不善一直持续至今,并存在多项违法行为,因此被处以罚款”,“希望平日持有、处理大量个人信息的运营者,能借此契机将投入在个人信息保护方面的预算和人力视为投资,而非成本”。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
