'SECURITY/News'에 해당되는 글 8건

  1. [기사] 사이버 보험, 기업·보험사·피해자 위한 지혜 필요한 때
  2. [기사] 한수원 해킹 사태! 최초 보도 이후 보름여의 기록들
  3. [자료] 카카오톡 E2E, PFS
  4. [기사] 정부부처에도 `정보보호 전담직제` 생긴다
  5. [기사] 잊혀질 권리 유럽사법재판소 판결
  6. [기사] 한눈에 보는 주요 기업 개인정보 유출 현황
  7. [자료] 카드사 고객정보 유출 현황 및 대응 방안
  8. [기사] SC, 씨티은행, 고객정보 유출사건 전말

[기사] 사이버 보험, 기업·보험사·피해자 위한 지혜 필요한 때

출처 : http://www.boannews.com/media/view.asp?idx=58530&page=2&kind=2


2016년에만 유출된 개인정보가 약 13억 8,000여건에 달할 정도로 개인정보 유출사고는 끊이지 않고 발생하고 있다. 이에 대한 피해보상이 이슈가 되고 있지만 아직 실질적인 보상안이 마련되고 있지 않은 상태다. 기업에 부과되는 과징금은 피해자가 아닌 국가에 귀속되며, 방통위가 집단소송 제도를 도입한다고 하지만 아직 검토단계라 실효성을 논의하기엔 미흡한 상황이다. 피해자들이 민사소송을 통해 얻는 보상금도 10만원 내외에 불과하며, 이마저도 직접 소송에 참가한 피해자들에게만 돌아간다. 

개인정보 유출사고로 인한 피해는 이용자들만의 문제는 아니다. 고객 등 이용자의 개인정보를 유출한 기업 또한 상당한 피해를 입게 된다. 알리안츠 리스크 가이드(Allianz Risk Guide, 2015)에 따르면 개인정보 유출로 인한 전 세계 기업들의 비용 지출은 매년 증가하고 있으며, 사이버 범죄로 인한 전 세계 경제손실이 연간 4,450억 달러(약 490조원) 규모에 달한다는 통계가 나와 있을 정도다. 

유진호 상명대학교 교수는 2015년 조사한 경영위협 요인으로 사이버 리스크가 15위에 올랐는데, 불과 1년만인 2016년에는 3위(28%)에 오를 정도로 기업운영에 큰 차질을 주고 있다고 설명했다. “이러한 상황을 타개하기 위한 대책으로 사이버 보험이 등장했습니다. 아직까지 미국 등 몇몇 국가에서만 활발하지만, 2016년 가준 세계 사이버 보험시장 규모는 35억 달러(약 3조 9,000억 원)로 추정되며, 2025년에는 200억 달러(약 22조원) 규모로 성장할 것으로 업계에서는 예상하고 있습니다.”

사이버 보험시장이 가장 활발한 미국은 세계시장의 90%인 32억 5,000만 달러의 규모이며, 앞으로도 10~25%의 성장 가능성을 보여주고 있다. 유럽은 GDPR 적용과 함께 증가할 리스크를 대비하기 위해 사이버 보험에 관심이 많으며, 일본도 사이버 공격이 큰 폭으로 증가하면서 사이버 보험 시장도 함께 성장하고 있다. 특히, 일본은 중소기업들이 상공회의소를 통해 저렴한 가격으로 개안정보 유출배상 책임보험에 가입하고 있다. 

보험개발원 발표에 따르면 우리나라 사이버 보험시장은 2016년 기준 약 322억 원 규모로, 8개 보험회사가 사이버 보험 상품을 출시해 운영하고 있다. 다만 아직까지 가입이나 활용은 미미한 수준이며, 상품 내역 또한 대부분 서드파티를 위한 배상에 초점이 맞춰져 있다. 보상한도 대비 연간 보험료도 높아서 A 기관의 경우 연간 보험료가 2억 8,000만원에 달하지만 보상한도는 20억에 그치고 있으며, B 기업은 연간 보험료 1,600만원에 보상한도가 1억 원에 불과하다. 

KISA가 진행한 정보보호 실태조사(2016년 기준)에 따르면, 침해사고에 대비한 정보보호 관련 보험가입은 1.3~1.4%에 불과하며, 사이버 보험에 대해 아예 모르는 보안 담당자가 43.7%, 알더라도 가입하지 않은 담당자가 41.4%에 달한다. 

이렇듯 사이버 보험이 활발하지 못한 이유는 수요기업과 보험사의 입장차이 때문이다. 수요기업들은 납입금에 비해 보상비용이 너무 낮아 실제 사고가 발생해도 대응이 어렵고, 가입조건 또한 너무 까다롭다고 말한다. 게다가 사건이 발생했을 때 보험금을 받는 절차와 입증이 어렵다고 강조한다. 

이에 비해 보험사는 가입 기업에 대한 위험평가 정보가 충분하지 않아 위험에 대한 판단이 어려우며, 사고 데이터에 대한 정보가 부족해 위험부담이 크다고 반박한다. 이 때문에 적극적으로 마케팅하기도 어렵다는 것이 보험사의 입장이다. 

유진호 교수는 국내 사이버 보험시장 활성화를 위해 가입자에 대한 사이버 리스크 평가모델을 체계화하자고 제안했다. 양측 모두의 입장을 정리해 보안컨설팅과 보험전문기관이 참여하는 리스크 평가 체계를 구축하자는 것. 또한, 사이버 사고 데이터를 비식별화한 후 해당 데이터를 공유해 적절한 요율을 산정하는 방법도 제안했다. 

또한 ‘농어업재해보험법’처럼 사이버 보험을 국가재보험으로 만들어 큰 사건의 경우 보험사의 리스크를 정부가 보장해 주거나, 사이버 보험 의무대상을 확대하는 것도 검토해야 한다고 주장했다. 가입자를 확대하기 위한 방안으로 사이버 보험 가입시 가입자에 대한 혜택을 주는 방안과 보안기업이 참여하는 3자 구조의 새로운 보험 상품을 설계하는 것도 유 교수는 제안했다. 

최근 정계에서 사이버보험의 필요성과 활성화를 위한 입법과 토론회를 추진하고 있으며, 보험기업들 역시 조금씩 사이버 보험 상품을 개발하고 있다. 정부는 이러한 사이버 보험이 기업은 물론 피해자에게 도움이 될 방법을 제시하는 한편, 이를 법제화해 의무화하는 방법도 고민해야 할 것으로 보인다. 

[기사] 한수원 해킹 사태! 최초 보도 이후 보름여의 기록들

출처 : http://www.boannews.com/media/view.asp?idx=44886&page=1&kind=1&search=title&find=


12일 긴급 기사, 15일 받은 메일, 16일 정보유출 최초 보도, 그리고...
한수원 사태, 지금까지 어떻게 왔나? 앞으로 어떻게 해야 하나?_ 
25일 이어 27일도 지났지만...그러나 아직 끝나지 않은 사이버 전쟁  


[보안뉴스 권 준] 현재 온 국민의 눈과 귀가 쏠리고 있는 한수원 해킹 사태. 원전반대그룹(Who Am I)이 정한 시한인 25일 크리스마스와 원자력의 날인 27일은 일단 무사히(?) 지나간 만큼 지금까지의 사태를 다시금 정리해볼 필요가 있다. 사실 지금부터가 더 중요하므로 복기(復棋)가 필요한 시점이기도 하다. 그럼 이제는 국민안전을 위협하는 중대사안으로 모든 언론들이 앞 다퉈 보도하고 있는 한수원 해킹 사태의 시작은 무엇이었을까?  

지금까지의 수사결과 원전반대그룹이라는 해커조직에서 이미 오래 전부터 한수원을 타깃으로 한 사이버공격을 치밀하게 준비했고, 미리 확보한 퇴직자 명의의 이메일을 통해 내부 직원들에게 표적 공격을 감행한 것으로 드러났다. 그럼 한수원 직원들을 타깃으로 한 표적 공격이 감행된 9일을 지나 본지가 그 사실을 최초 보도한 12일로부터 시작되는 한수원 사태의 보름간의 기록들을 한번 따라가 보자.


# 12월 9일 - 한수원 직원 타깃으로 한 표적 공격 감행_ 
미리 탈취한 한글문서 ‘제어program(최신-W2).hwp’ 등이 퇴직자 명의의 이메일에 첨부돼 한수원 직원들에게 발송됐다. 이 한글파일을 다운로드 할 경우 하드파괴 기능이 있는 악성코드가 감염될 수 있었고, 지금까지 공개된 바로는 한수원 내 직원 PC 4대가 해당 악성코드에 감염된 것으로 드러났다. 여기서 문제는 이러한 악성 메일이 한수원 직원뿐만 아니라 다른 국가주요기반시설의 직원, 그리고 국방·안보분야 담당자들에게도 발송됐다는 점이다. 이것이 바로 한수원만이 아닌 다른 추가 피해가 우려되는 이유다. 


# 12월 12일 새벽 1시 20분 - 원전 등 타깃으로 한 표적 공격, 긴급 보도_ 
본지는 원자력발전소 등 제어·발전시설의 안전담당자를 대상으로 한 표적 공격이 발생했다는 정보를 입수한 후, 추가 취재를 거쳐 ‘원자력발전소 등 타깃 사이버테러 징후 포착’이라는 제목의 [긴급] 기사로 한수원 사태의 첫 시작을 알렸다. 이 기사를 통해 처음 등장한 해커조직의 이름이 바로 ‘Who Am I’였으며, 한수원 사태의 본격적인 파장을 예고한 기사가 됐다.


# 12월 13일 오후 2시 13분 - 한수원 “피해 거의 없다” 발뺌? or 몰라서?_
하드파괴 악성코드가 유포됐다는 점, 그리고 원전을 타깃으로 삼았다는 점 등에서 북한의 해커조직으로 추정한 본지는 사태의 심각성을 직감하고 한수원을 대상으로 피해현황에 대한 추가 취재에 들어갔다. 그러나 당시 한수원 측은 “이메일을 통해 들어온 악성코드는 관계기관에 의해 9일 최초 발견됐으며, 내부적으로는 피해가 거의 없다”고 언급했다. 그러나 직원 PC 4대가 감염돼 피해가 발생했고, 감염 PC 조사를 한 보안업체에 의뢰한 것으로 추후 밝혀진 바 있다. 이로 인해 당시 “피해가 거의 없다”고 말한 한수원 측 설명은 의도적으로 발뺌을 했거나 피해의 심각성을 제대로 인지하지 못했다는 의미가 된다.   

 

# 12월 15일 밤 8시 52분 - 본지 편집국으로 날아온 수상한(?) 메일들_
이렇듯 한수원 측의 석연치 않은 해명으로 그냥 묻힐 뻔 했던 이번 사건은 15일 밤 본지 편집국으로 날아온 메일로 인해 새로운 국면을 맞게 된다. 15일 밤 8시 52분 본지 편집국 계정 두 개로 들어온 메일들은 보낸 사람 이름도 없이 mitucodhyt라는 이름으로 ‘기사제보’라는 제목을 단채 단순히 블로그(http://blog.naver.com/tlsrk112) 주소만을 기재한 메일이었다. 이어 오후 9시 49분에는 ‘원전자료’라고 메일 제목만 바꾼 채 블로그 주소를 보내왔다. 

 ▲ 원전반대그룹에서 15일 밤 8시 52분경 본지에 최초로 보내온 메일. 다른 설명 전혀 없이 블
    로그 주소만 기재돼 있다. 
      


하루에도 수많은 스팸메일과 제보, 그리고 보도자료를 받는 편집국으로써는 별로 특별할 것이 없는 시민단체의 목소리를 담은 블로그 소개 메일 또는 스팸 메일에 불과한 것으로 생각할 정도였다. 그러나 뒤늦게 확인해보니 보낸 사람의 메일주소(kdfifj1029@hotmail.com)가 블로그가 폐쇄된 이후 트위터를 통해 협박하고 자료를 공개했던 ‘John’이라는 인물이 쓰던 아이디로 밝혀지면서 원전반대그룹이 한수원을 해킹한 해커조직과 동일조직라는 점이 드러나게 됐다.   


# 12월 16일 오전 11시 24분 - 원전반대그룹, 유출문서 3개가 첨부된 메일 발송_ 
15일, 블로그 주소만 기재한 메일이 몇 차례 들어온 데 이어 16일 오전 11시 24분에 보낸사람에 ‘권**’라는 특정 이름이 기재되고, 해당 블로그 주소와 함께 3개의 첨부파일이 포함된 메일이 본지 편집국으로 다시 발송된다. 해당 메일에는 ‘KHNP 주소록’라는 이름의 엑셀파일과 ‘제어 프로그램 설명서’와 ‘아랍에미레트 왕세제에게 보낸 친서’라는 제목의 한글파일 등 총 3개의 첨부파일이었고, 이 자료가 현재 세상을 떠들썩하게 만든 한수원 해킹 사태의 서막이 됐다. 

▲ 원전반대그룹에서 16일 오전 11시 24분경 KNHP 주소록 등 3개의 파일을 첨부해 본지에 
   보내온 이메일.


이 메일을 받고 본지 편집국은 해당 자료의 심각성을 인식하면서도 유출자료가 과연 진짜인지, 그리고 한수원의 직원 정보가 맞는 것인지 반신반의했고, 확인작업에 만전을 기하는 등 보다 신중하게 접근하고자 했다.  


여기서 독자들이 궁금해 할 수 있는 부분이 하나 있을 것 같다. 왜 수많은 언론 가운데 본지에게만 유출자료를 보냈던 것일까? 나름의 추측을 곁들여 본다면 본지가 보안전문 매체라는 특성과 함께 앞서 지난 9일 한수원 직원들을 대상으로 악성 메일을 보낸 사실을 인지하고 ‘원자력발전소 등 타깃 사이버테러 징후 포착’이라는 제목으로 최초로, 그리고 거의 유일하게 관련 보도를 내보냈기 때문이 아닐까 싶다. 원전반대그룹에서 본지 편집국내 메일계정 2개로만 관련 메일을 보냈는데, 2개의 메일계정이 관련 기사를 작성했던 기자 2명의 메일주소였던 점도 이러한 추측을 뒷받침해준다.    


# 12월 17일 오전 10시 50분 - 한수원 사태의 서막이 된 직원정보 유출 단독 보도_
원전을 반대하는 시민단체 측에서 입수한 자료일 것이라고 생각하면서도 혹시나 하는 마음에 한수원 직원 10,779명의 개인정보 파일부터 일일이 확인작업에 들어간 본지는 직원명부가 거의 정확한 일치한다는 사실을 확인할 수 있었다. 그 후, 여러 차례 내부 논의 끝에 유출사실을 한수원 측에 알리는 동시에 기사화를 전격 결정하게 된다. 

한수원 측에서도 1만명 이상의 개인정보 유출사실을 알게 됐을 때는 행자부 등에 반드시 신고하고, 피해자들인 내부 직원들은 물론 외부에도 고지하게끔 되어 있기 때문이다. 이로 인한 단독보도의 파장은 매우 컸다. 전국에 산재한 원자력발전소와 수력발전소를 총괄 관리하는 한수원 직원 전체 10,779명의 명단이 외부로 유출된 것인데다가 2차 피해의 가능성까지 우려되는 상황이어서다. 그러나 그때까지 한수원 측은 해킹 가능성을 부인하면서 퇴직자 커뮤니티 등 내부자에 의한 유출 가능성을 제기했다. 이어 본지는 수사당국에도 블로그의 존재를 신고해 본격적인 수사가 진행되도록 했다.  


# 12월 18일 오후 3시 28분 - 원전반대그룹의 2차 유출자료 메일 도착과 블로그 공개_
본지는 한수원 직원 전체의 개인정보 유출사실을 단독 보도했음에도 불구하고, ‘제어 프로그램 설명서’ 등 원전관련 기술 파일을 기사화하는 데는 고심이 따를 수밖에 없었다. 이번 보도가 국익에 미칠 영향 등을 다각도로 고려할 수밖에 없었던 것이다. 

▲ 원전반대그룹에서 18일 오후 3시 28분경 유출자료를 추가 공개했다고 블로그 주소를 
   첨부해서 보낸 이메일.


그러한 고민이 이어질 때쯤인 오후 3시 28분, 원전반대그룹으로부터 2차 유출파일이 도착하게 된다. ‘박**’이라는 이름을 쓰고, 블로그 주소와 동일한 tlsrk112@naver.com을 쓰는 인물로, 원전반대그룹 한국지부장이라고 자신을 지칭하면서 시작하는 메일이었다. “네이버 블로그에 원전 해킹 데이터 추가공개했다”는 말과 함께 ‘원자력발전소 주변 주민 방사선량 평가 프로그램’이라는 제목의 한수원 내부 프로그램 캡처 화면을 함께 보내왔다.

 

이어 또 다른 기자의 메일로는 “기회가 되면 한수원에 저희가 들여보낸 바이러스 다 잡았나도 물어봐 주세요. 제어 시스템 파괴지령이 들어갓는지 저희도 잘 기억이 안나네요”라거나 “제어 프로그램 설명서 파일도 기사에 올려야 하지 않나요. 그렇게 하신다면 공개안한 데이터도 많이 드릴텐데..” 등의 말로 기사화를 독촉하는 등의 내용도 추가해서 보내게 된다.     


# 12월 18일 오후 7시 12분 - 특별취재팀 꾸려 연이은 단독 보도_

그럼에도 불구하고 기사화를 고민하던 본지는 유출 자료들이 올라온 블로그가 다른 이들에게도 알려지고, 원전반대그룹이 다른 언론에도 블로그를 공개함에 따라, 본지가 보유한 자료를 국민들에게 모두 공개해 원전의 보안위협 실태와 실상을 정확히 알릴 필요가 있다는 판단 아래 특별취재팀을 꾸리고, ‘[단독] 한수원, 직원정보 이어 기술자료까지 유출’ 등 단독기사를 잇따라 게재하게 된다.


원전반대그룹은 본지가 한수원 직원정보 유출 사실 외에 설계도를 포함한 1,2차 유출자료에 대한 보도에 신중을 기하자, 사회 혼란을 유도하려는 계획이 차질을 빚을 것을 우려한 나머지 다른 언론들에도 블로그 주소를 공개했던 것으로 보인다.


# 12월 19일 오후 8시 30분 - 원전반대그룹, 트위터 통해 세 번째 유출 자료 공개_

본지의 연이은 단독 보도 이후, 블로그가 폐쇄되고 모든 언론들이 이번 사건에 관심을 가지게 되면서 원전반대그룹 측도 직접 트위터를 통해 유출자료의 추가 공개에 나서게 된다. 이 당시 공개된 자료는 ‘고리 1호기’라고 이름 붙여진 설계도면과 부품 스펙 및 매뉴얼, 한수원 자체 비밀세부분류지침, 한수원 2직급 명단과 한수원 내부에 심어놓은 것으로 추정되는 프로그램 실행화면 등 9개의 파일이다.


이 때부터 모든 언론들이 트위터를 통해 공개되는 유출파일들에 대해 상세히 보도되면서 국민들의 불안감이 확산되고, 이번 사건 수사를 맡게 된 개인정보범죄 정부합동수사단(이하 합수단)의 수사가 본격화되면서 수사 상황들이 국민들에게 알려지게 된다.  


# 12월 21일 오전 1시 32분 - 원전반대그룹, 매뉴얼 등 네 번째 유출자료 공개_

21일 오전 1시 32분에는 원전반대그룹의 4번째 유출자료가 공개된다. 당시 공개된 파일은 월성 1호기와 고리 2호기의 설계도 및 매뉴얼 등 총 4개 파일이며, 드롭박스를 통해 다운로드 받을 수 있도록 했다.


특히, 4차 공개 때는 ‘청와대 아직도 아닌 보살’이라는 제목으로 청와대를 비난하고, 원전 가동을 중단하지 않을 경우 크리스마스 때 공격하겠다는 협박성 메시지까지 남기면서 해킹 배후로 북한의 가능성이 크게 대두되기 시작했다. 아닌 ‘아닌 보살’이라는 북한식 표현과 함께 원전 공격을 예고하는 대담성, 그리고 사회 혼란을 부추기는 심리전까지 감행한다는 점에서 고도의 훈련을 갖춘 사이버전 조직이라는 전문가들의 의견이 제기됐기 때문이다.    

  

# 12월 23일 오후 3시 23분 - 원전반대그룹, 마지막 5번째 유출자료 공개_

23일 오후 3시 경에는 원전반대그룹이 마지막 5번째 추가 자료 공개와 함께 국민들을 왜 대비시키지 않느냐며, 12월 9일을 역사에 남도록 할 것이라는 말도 덧붙였다. 특히, 5번째 유출자료에는 안전해석코드(SPACE)라는 원전 프로그램을 구현한 화면을 캡처한 자료도 있었는데, 안전해석코드는 한수원이 국산화한 원전 핵심기술로 알려져 파장이 더욱 커졌다.  

    

# 12월 25일과 27일 - ‘크리스마스’와 ‘원자력의 날’, 겉으로는 평온했지만..._ 

원전반대그룹이 원전 중단시한으로 예고했던 25일. 한수원을 비롯한 관련부처 및 기관에서 비상대응태세로 돌입한 크리스마스와 본지와 일부 보안전문가들이 우려했던 27일 ‘원자력의 날’은 겉으로 보기엔 아무 일 없이 넘길 수 있었다. 그러나 외부망과 내부망이 완전히 분리돼 내부망 침입 가능성은 절대 없다던 한수원 측에서 인터넷을 완전 차단하는 등의 임시방편식 대응으로 뒷말을 남기기도 했다.


# 12월 28일 오전 11시 - 한수원 조석 사장 기자회견, 일련의 사태 사과했지만..._

한수원 조석 사장은 28일 11시 기자회견을 열고 원전자료 유출사건과 신고리원전 가스 누출 사고에 대해 “국민께 많은 심려 끼쳐 죄송하다”며 공식 사과했다. 조 사장은 “한수원 업무망에 대한 사이버 공격은 지금도 계속되고 있지만, 현재 원전 20기가 안전하게 가동되고 있다”며 “사이버공격으로 원전을 멈추게 하지 못한다”고 강조했다. 이와 함께 그는 “범죄자의 행위로 한수원의 성과가 묻혀 안타깝다”고  덧붙이기도 했다. 일련의 사태에 대한 진정한 반성이 없다는 비판을 받을 수 있는 대목이다.


지금까지 12일 본지의 최초 보도로 드러난 9일 한수원 타깃 사이버공격의 시작에서부터 16일 한수원 직원파일 유출과 관련된 단독보도, 그리고 28일 한수원 조석 사장의 기자회견에 이르기까지 한수원 해킹사태, 보름여간의 기록을 정리해봤다.  


이 보름 사이 9일 발생한 사이버공격 당시 보낸 악성코드의 종류와 기능, 피해규모, 퇴직자 명의로 메일이 발송됐다는 점 등이 밝혀졌다. 또한, 9일 공격을 감행한 조직과 유출자료를 공개한 조직이 동일범이라는 사실, IP 추적 결과 북한 해커조직이 많이 활동하는 중국 선양이 주 근거지로 나왔다는 점 등도 수사결과 드러났다.  그러나 아직까지도 많은 것들이 미궁 속에 빠져 있다. 

더구나 일부 보안전문가들은 또 다른 국가주요시설도 공격당한 정황이 드러났다며, 모든 이들이 한수원에 집중할 때 다른 곳을 공격하거나 시일이 조금 지나 방어가 느슨해진 틈을 타 한수원을 다시금 노릴 가능성을 우려하고 있다. 이젠 하루하루가 전쟁이고 디데이라고 할 수 있다. 우리나라 정부부처와 주요국가시설, 국방 분야를 타깃으로 한 사이버전은 지금 이 시간에도 지행되고 있기 때문이다.   

[자료] 카카오톡 E2E, PFS

http://likelink.co.kr/34478


쉽게 잘~ 풀어쓴 글


* OTR

http://en.wikipedia.org/wiki/Off-the-Record_Messaging


* Certificate pinning

http://en.wikipedia.org/wiki/Transport_Layer_Security#Certificate_pinning

http://yellowbirds.tistory.com/archive/201110?page=3

[기사] 정부부처에도 `정보보호 전담직제` 생긴다

출처 : http://www.dt.co.kr/contents.html?article_no=2014092302100960800001


정부부처에도 정보보호를 전담하는 직제가 생긴다. 정부 공공기관이 국민 개인정보를 허술하게 관리할 경우 일반 기업보다 국민에게 미치는 타격이 클 뿐더러 정보보호에 대한 중요성도 높아졌기 때문이다. 

22일 안전행정부와 관련 업계에 따르면 정부는 내년부터 정보보호 전담 직제를 신설하기로 했다. 안행부 측은 "2015년부터 5급 사무관 급으로 직제를 신설하고 정보보호 업무를 전담할 인력을 37개 부처에서 일제히 마련하게 된다"고 확인했다. 

정부가 정보보호 전담 직제를 신설하는 것은 의미가 크다. 그간 정부는 기업의 자사 고객 개인정보 관리를 강화하기 위해 CISO(최고 정보보호 책임자) 직제를 신설토록 법률로 규정하고 일정 수준 이상의 규모가 되는 기업에는 이 규정을 의무 적용토록 했다. 금융권이나 통신, 포털 등 ICT 분야는 임원급으로 CISO를 두도록 하고 IT담당임원(CIO)과도 분리하도록 명령했다. 

하지만 정부부처는 아직 정보보호를 전담 관리하는 직제가 없다. 각 부처마다 IT시스템 운영이나 관리를 위한 '정보화담당관'은 두고 있지만 정보보호쪽은 담당자가 아예 없거나 있어도 전담이 아닌, 일부 업무로 규정돼 있을 뿐이었다. 안행부의 정보기반보호과나 대전, 광주 등의 정부통합전산센터에서 통합 관리하는 수준이 전부였다. 

상황이 이렇다보니 중앙 정부부처는 물론이고 산하기관, 공기업 등의 국민 개인정보 관리 실태는 방만하기 짝이 없었다. 최근 국회 안전행정위원회 소속 노웅래 의원(새정치민주연합)이 공개한 자료에 따르면 중앙행정기관, 지방자치단체 등 공공기관의 개인정보 오·남용이 최근 3년전보다 19% 증가한 것으로 나타났다. 

최근 4년간 공공기관의 개인정보 오·남용 경우는 2011년 129명에서 2012년 88명 2013년 154명으로 3년새 19% 증가했고 사적열람, 개인정보 무단 제공 등 고의로 정보를 유출한 사례가 대다수였다. 국회 보건복지위원회 남윤인순 의원도 최근 국민건강보험관리공단의 부실한 개인정보 관리 실태를 폭로하면서 "개인정보를 무단 열람, 유출한 직원의 징계처분 사유설명서를 보면 열람행위가 한 번에 그치지 않고 수년간 지속적으로 진행되고 있는 경향이 있다"며 "무단열람이 장기간 걸쳐 진행되고 있음에도 이를 조기에 발견하지 못하는 등 문제가 심각하다"고 지적했다. 

이에 따라 안행부 조직정책관실을 중심으로 보안 전문가와 학계 등의 의견을 수렴, 전문 직제를 신설키로 한 것이다. 

안행부 관계자는 "그간 정보보호 관련 관리업무 강화 방안 등을 논의하고 해당 직렬을 마련하겠다는 그림을 그리고 있었으나 이번에 전담 직제를 신설하는 방향으로 오히려 해당 내용을 강화했다"면서 "정부가 국민의 개인정보를 보호하기 위해 솔선수범해야 한다고 생각했다. 앞으로 5급이 아닌 더 높은 직급으로 상향 확대될 가능성도 높다"고 설명했다. 

이와 관련 안행부와 논의를 지속해 온 학계 전문가도 "5급 사무관 급이 결코 낮은 직제가 아니다. 5급 밑으로 6급, 7급 등 담당자들이 생기게 되고 특히 지방 부처나 산하기관, 공기관 등에서는 정보보호 전담직제 신설이 큰 효과를 나타낼 것"이라고 기대를 나타냈다. 

정부의 정보보호 전담직제 신설에 따라 보안 전문인력의 공공부문 흡수 역시 급물살을 탈 것으로 보인다. 

[기사] 잊혀질 권리 유럽사법재판소 판결

출처 : http://www.boannews.com/media/view.asp?idx=41154&page=1&kind=2&search=title&find=


유럽사법재판소 “구글의 잊혀질 권리 행사는 받아들여야”


[보안뉴스=법무법인 민후 최주선 변호사] 올해 5월 13일 유럽사법재판소(ECJ)에서 최초로 잊혀질 권리를 명시적으로 인정하는 판결이 선고됐다. 그동안 유럽의 각국에서는 잊혀질 권리를 인정하는 판결이 여러 차례 있었지만 유럽사법재판소에서 관련 판결이 나온 것은 최초이기에 전 세계 언론이 이를 주목했다.


이번 사건의 발단은 마리오 코스테하 곤잘레스라는 스페인 사람이 과거 자신의 집이 경매에 넘어갔던 적이 있지만 수년전에 이미 빚을 갚고 집을 찾아왔는데도, 집이 경매에 넘어간 사실을 보도한 언론기사가 지금까지도 구글에서 검색됨으로 인하여 피해를 보고 있다면서 해당 언론기사를 작성한 언론사를 상대로는 기사 자체의 삭제를, 구글 스페인과 구글 본사를 상대로는 검색결과에 나타나는 링크의 삭제를 청구하는 소송을 제기하면서 시작됐다.


이에 유럽사법재판소는 언론사에 대한 잊혀질 권리 행사는 받아들일 수 없고 구글에 대한 잊혀질 권리 행사는 받아들여야 한다고 판단한 것이 바로 이번 판결이다.


유럽사법재판소 판결의 쟁점은 크게 5가지였다. 첫째, 구글을 개인정보처리자로 볼 수 있는가? 둘째, 미국 기업인 구글에게 유럽연합의 지침을 적용할 수 있는가? 셋째, 검색엔진 운영자에게 링크삭제 의무가 있는가? 넷째, 정보 자체의 게재를 막을 수 있는가? 다섯째, 언제나 링크삭제를 요구할 수 있는가?


검색엔진 활동도 ‘개인정보의 처리’에 해당, 검색엔진 운영자는 ‘개인정보처리자’

유럽사법재판소는 ‘제3자가 인터넷상에 공표하고 게재한 정보를 찾아내고 이를 자동으로 색인화하며, 일시적으로 저장하고, 종국적으로 인터넷 이용자들이 선호도에 따라 이를 이용할 수 있게 만드는 검색엔진의 활동’은, 그 정보에 개인정보가 포함되어 있을 경우, 유럽연합 집행위원회(European Commission) 95/46 지침(directive) 제2조 제(b)호의 ‘개인정보의 처리’로 분류되어야 한다고 판시했다. 그리고 해당 검색엔진의 운영자는 그러한 처리의 측면에서 위 지침 제2조 제(d)호의 (개인정보) ‘처리자’로 취급되어야 한다고 명시적으로 선언했다.


따라서 구글과 같은 전형적인 검색엔진 운영자는 설령 그 검색엔진의 활동이 자동적으로 이루어지는 기계적인 동작이고 그 과정에서 우연적·결과적으로 개인정보의 처리가 이루어지는 경우라 하더라도 개인정보처리자의 지위에 해당할 수 있다는 것이다.


EU 회원국 영토 내에서 일정한 활동 하고 있다면 EU법 적용 가능

또한 유럽사법재판소는 검색엔진의 운영자가 EU 회원국의 영토 내에 회원국의 거주자들을 대상으로 영업활동을 하기 위해 지사나 자회사를 설립한 경우라면, 그 검색엔진 운영자의 개인정보 처리는 EU 회원국 내 영토에서 개인정보처리자의 시설의 활동으로서 수행된 것으로 보아야 한다고 판시했다.


즉 검색엔진 운영자의 본사가 EU 영토 밖에 존재한다고 하더라도 그 지사나 자회사 등을 EU 영토 내에 설립하고 활동을 하고 있다면 이는 EU 영토 내에서 이루어지는 개인정보의 처리이므로 EU의 법령을 적용하는 데에 문제가 없다는 것이다.


이는 구글과 같은 미국의 인터넷 기업에게도 EU가 일정한 제재를 가할 수 있다는 의미로서, 구글 뿐만 아니라 페이스북 등 미국의 다른 인터넷 기업들이 이번 판결을 강하게 비판하는 이유이기도 하다.


검색엔진 운영자, 정보주체 요구에 따라 링크삭제 의무 있어

이러한 기초적인 판단에 이어 유럽사법재판소는 “검색엔진의 운영자는 제3자에 의해 게재되고 특정 개인과 관련된 정보를 포함한 웹페이지의 링크들”을, “그 개인의 이름에 기초하여 행해진 검색으로 표시된 결과목록에서 삭제할 의무가 있다”고 판시했다.


그리고 이러한 삭제의무의 적용 여부를 판단할 때에는, 특히 “현 시점을 기준으로 해서” 그러한 삭제요구가 정당한지 여부를 심사해야 하고 그 외에 그러한 검색결과 목록이 그 정보주체에 대해 편견을 불러일으키는지 여부까지 살필 필요는 없다고 판시했다.


나아가 그러한 삭제요구에 대한 근거조문으로 여러 가지를 들었는데, 그 중 특히 중요한 것은 위 95/46 지침 제12조의 ‘접근권’과 95/46 지침 제14조의 ‘정보주체의 이의권’이다. 우리나라의 ‘정정청구권’ 등과 비슷한 것이다.


이 두 개의 조문은 EU의 회원국들에게 정보주체가 개인정보처리자로부터 몇몇 권리를 보장받을 수 있게 하라고 의무를 지우고 있는데, 바로 여기서 나오는 정보주체의 권리들이, 전자인 제12조 (b)항의 경우에는 ‘정보주체가 개인정보처리자에 대해 불완전하거나 부정확한 정보의 적절한 수정·삭제·차단을 요구할 권리’이고, 후자인 제14조 (a)항의 경우에는 ‘정보주체의 특수한 사정과 관련된 불가피한 정당한 이유가 있는 경우 정보주체가 자신과 관련된 정보의 처리를 거부할 권리’이다. 유럽사법재판소는 바로 이러한 권리들로부터 잊혀질 권리의 법적 근거를 찾아낸 것이다.


웹페이지의 정보 게재 자체를 막을 수 없어

다만 이러한 경우에도 그 웹페이지의 정보 게재 자체는 합법적인 것이기 때문에 그 정보 게재 자체를 막을 수는 없다는 것이 유럽사법재판소의 판단이었다. 곤잘레스가 자신의 기사 자체를 삭제해 달라고 요구하는 것은 부당하다는 것이다.


기사 자체의 삭제를 용인할 경우 표현의 자유에 대한 심각한 침해가 될 수 있고 명예훼손 등이 성립하지 않는 한 표현 자체를 막을 뚜렷한 법적 근거도 없다는 점 등을 고려한 것으로 보인다.


공적 영역 활동 기록, 공중의 압도적 이익에 반할 경우, 잊혀질 권리 주장 못해

유럽사법재판소는 마지막으로 잊혀질 권리의 한계 내지는 적용범위에 대해서도 언급했다. 정보주체의 이러한 잊혀질 권리는 원칙적으로는 검색엔진 운영자의 경제적 이익은 물론이고 그 정보에 접근하고자 하는 일반공중의 이익에도 우선하는 것이지만, ①공적인 영역에서 그 정보주체가 수행한 역할에 대한 정보인 경우 ②그 검색결과 목록을 통해 당해 정보에 접근하는 일반 공중의 이익이 정보주체의 이익보다 압도적인 경우 등의 특별한 이유가 있다면 이런 경우에는 잊혀질 권리를 주장할 수 없다는 것이다.


이는 결국 공익과 사익의 이익형량, 공적 영역 기록과 사적 영역 기록의 구별 등을 통해 잊혀질 권리의 적용범위 내지는 한계를 설정하여야 한다는 판시다.


판결에 대한 찬반 양론 팽팽해

이번 유럽사법재판소의 판결에 대해서는 역사적이고 획기적인 판결이라는 반응도 존재하지만 인터넷을 이해하지 못한 심각하게 잘못된 판결이라는 반응도 존재한다. 특히 세계 최대 인터넷 기업들이 즐비한 미국 쪽에서는 연일 신랄한 비판들이 쏟아지고 있으며, 유럽이 미국을 견제하기 위한 판결이라는 정치적인 해석도 설득력을 얻고 있다.


하지만 잊혀질 권리는, 기업도 국가도 아닌 바로 오프라인 세계의 망각의 축복을 온라인 세계에서도 실현해 달라는 일반 이용자들의 애타는 요구가 끝없는 릴레이 소송으로 표출됨으로 인해 점점 가시화된 권리라는 점에서 인간의 본성과도 맞닿아 있다. 이에 잊혀질 권리를 인정해야 한다는 명제 자체는 거스를 수 없는 대세로 받아들여지고 있다.


다만 잊혀질 권리의 인정이, 오프라인 세계와는 다른 온라인 세계만의 또 다른 축복 즉 영원한 기록과 영원한 역사에 대한 인간의 열망을 해칠 때에는, 두 가지 인간본성의 충돌이 일어나고 역반발이 심화될 수 있기에 어떤 지점에서 조화를 이룰 수 있는지가 앞으로의 주요 과제가 될 것으로 보인다.


-------------------

국내 현황은... 


출처 : http://www.boannews.com/media/view.asp?idx=41157&page=1&kind=1&search=title&find=


[보안뉴스 김경애] 최근 구글에 올라온 개인정보 삭제 요구가 늘면서 ‘잊혀질 권리’에 대한 관심이 뜨겁다.


잊혀질 권리는 온라인 사이트에 게재된 개인과 관련된 각종 정보의 삭제를 요구할 수 있는 권리를 뜻한다.


최근 유럽연합(EU) 최고법원인 유럽사법재판소(ECJ, European Court of Justice)는 구글을 상대로 개인의 ‘잊혀질 권리(right to be forgotten)’를 인정하는 첫 판결을 내렸다.


ECJ 재판부는 지난 13일 “구글 이용자는 구글에 시효가 지나고 부적절한 검색 결과에 대해 삭제를 요구할 수 있다”고 판결했다.


그러나 영국 정부는 유럽사법재판소(ECJ)의 ‘잊혀질 권리’ 인정 판결에 대해 인터넷 정보삭제 요구 남발은 표현의 자유를 침해할 수 있다고 밝혔다.


이에 따라 사생활 보호 권리차원에서 삭제해야 한다는 의견과 표현의 자유를 침해할 수 있다는 의견으로 나뉜 가운데 포털 이용자들의 자기정보 관리 고심은 더욱 커지고 있다.

 

이러한 가운데 ‘잊혀질 권리 관리기’가 등장해 신성장 사업으로 관심이 모아지고 있다.


창조경제타운 제7기에서  우수아이디어로 선정된 ‘잊혀질 권리 관리기’는 지난해 ‘디지털 에이징 시스템’으로 유명세를 탔던 이경아 씨(42세)의 남편 송명빈 씨(46세)가 제안한 아이디어다.


‘잊혀질 권리 관리기’는 기존 포털사의 제휴나 동의 없이도 네티즌의 요청에 의해 업로드 데이터를 관리하고, 소멸시효를 운영할 수 있는 것이 특징이다. 현재 특허 출원 중이며, 오는 9월 등록 완료 예정이다.


더욱이 미국의 ‘스냅챗’이 사기로 판명되어 미 당국으로부터 20년간 감시 명령을 받은 현재 시점에서 송명빈 씨의 ‘잊혀질 권리 관리기’는 이경아 씨의 ‘디지털 에이징 시스템’과 함께  디지털 소멸시대의 대안으로 주목되고 있다.


한국IT비지니스진흥협회에서는 ‘창의도전형 SW R&D 지원사업’을 통해 창조경제 우수아이템으로 선정된 이번 ‘잊혀질 권리 관리기’ 개발비에 1억을 지원하기로 결정했으며, 시제품은 11월 출시 예정이라고 밝혔다.

[기사] 한눈에 보는 주요 기업 개인정보 유출 현황

http://www.bloter.net/archives/185247


https://docs.google.com/spreadsheets/d/1-XzjHcFizR9nymSat37rTkeLEtZnZM9VgFZR_qsQvsk/edit#gid=0


한눈에 보는 주요 기업 개인정보 유출 현황

[자료] 카드사 고객정보 유출 현황 및 대응 방안

농협, 롯데, 국민카드에서 1억여건의 사상 최대 개인정보 유출 사건이 발생하였습니다. 


첨부 파일은 해당 사건의 현황과 대응방안이 간략히 기록되어 있습니다.


140108_배포시_(보도참고)신용카드업자 고객정보 유출 관련 현황 및 대응방안.pdf


-- 1/13일 추가 


금감원에서 금융회사 CISO 및 CPO에게 지시한 사항에 관한 내용입니다. 


140113_10시_(보도참고자료)금융회사에 대해 정보보호 강화 강력히 주문.pdf



[기사] SC, 씨티은행, 고객정보 유출사건 전말

한국스탠다드차타드(SC)은행과 한국씨티은행 대출관련 고객 정보 13만7천여 건이 유출된 사실이 검찰조사 결과 밝혀졌다. 창원지검 특수부(홍기채 부장검사)는 은행 고객 정보를 유출한 은행원과 이를 수수한 불법사금융자 등 12명을 적발하고 이중 5명을 구속했다고 밝혔다.
 
창원지검은 한국씨티은행 대출상품 채무자 고객정보 약 3만4천건을 외부에 유출한 내부직원 ㄱ차장(37세), SC은행 대출상품 상담자 고객정보 약 10만3천건을 외부에 유출한 IT부서 수탁업체직원 ㄴ씨(40세), 이들 고객정보를 이용해 대출영업을 한 대출모집인, 통대환대출업자 등 12명을 기소했다.
 
한편 조사결과, 통대환대출업자는 이외에도 다수의 금융기관에서 불법 유출된 것으로 보이는 개인정보 약 300만건을 소지하고 있었으며 이를 이용한 영업한 사실도 확인돼 그 유출 경위에 관해 창원지검은 계속 수사 중에 있다고 밝혔다.
 
검찰은 최근 서민생활을 침해하는 대표 악성사범으로 인터넷 도박사이트 운영업자, 불법사금융업자를 지목하고 도박사이트 대량광고업자, 무등록대부중개업자, 통대환 대부업자들에 대해 지속적인 단속을 펼쳐왔다.
 
홍기채 부장검사는 “수사 과정에서, 위와 같은 범죄의 이면에는 각종 인터넷 사이트에서 유출된 개인정보가 이용되고 있는 점을 확인했다”며 “특히 금융회사로부터 불법 유출된 것으로 의심되는 고객정보가 다수 유통되고 있는 사실을 발견해 수사에 착수해 은행 직원들이 직접 고객정보를 빼돌려 유출한 사실을 적발한 것으로서 은행에 의한 개인정보 유출 사례 중 최대 규모”라고 말했다.
 
이번 사건은 제1금융권 직원들에 의한 대규모 고객정보 유출 사례로는 최초 적발된 사건이다. 사건에 대한 상세 내용은 다음과 같다.

한국씨티은행 △△지점 대출담당직원 ㄱ차장은 올해 4월말 은행 내부전산망에 저장되어 있는 고객정보를 빼내 은행 전직 대출모집인 ㅁ씨에게 전달했고 이후 ㅂ○○ → ㅅ○○ → ㅇ○○ → ㄷ○○·ㄹ○○ 순서로 정보들이 유통되어 대출모집 영업 및 불법사금융(통대환대출)에 이용됐다.
 
그는 자신에게 부여된 보안권한을 악용해 업무시간대에 고객정보를 출력한 후 ㅁ씨에게 이를 제공했고 결국 통대환대출 영업을 하는 불법 사금융업자에게까지 정보가 제공, 유통된 사실이 확인되었다.
 
한편 한국스탠다드차타드(SC)은행 IT센터 수탁업체직원으로서 전산프로그램 개발 업무를 담당하던 L씨는 2011년 11월부터 지난해 2월 대학선배인 대출모집인 ㅈ씨의 부탁을 받고 위 은행 특정 신용대출상품 상담자 고객정보 파일을 USB에 저장, 유출한 후 5차례에 걸쳐 ㅈ에게 전달했고, 이후 ㅊ○○·ㅋ○○ → ㅌ○○ → ㄷ○○·ㄹ○○ 순서로 계속 유통되어 대출모집 영업 및 불법사금융(통대환대출)에 이용됐다.

ㄴ씨는 전산프로그램 개발을 위해 고용되었음에도 컴퓨터 기술에 정통한 자신의 능력을 악용해 은행 보안시스템을 해제하고 고객정보를 유출했고, USB를 이용한 점에서 그 전파력이 대단했다.
 
검찰은 금융권의 도덕적 해이와 미흡한 보안대책에 대한 사회적 우려가 현실화된 사건이라고 표명했다.
 
홍 검사는 “그동안 정보화시대의 필수과제 중 하나인 개인정보 보호를 위한 여러 가지 제도가 있었지만, 수사결과 “자신의 영업실적을 올리기 위해” 또는 “선배의 부탁”이라는 금융기관 직원의 개인적인 이유로 은행의 고객정보가 너무나 쉽게 유출된 사실이 확인됐다“고 밝혔다.
 
한편 한국씨티은행은 컴퓨터 파일 자체를 복사, 저장할 수 없도록 설정하는 방식으로 고객정보 유출을 방지해 왔으나, ㄱ씨는 A4용지로 출력, 인쇄하는 간단한 방법으로 고객정보를 유출했다.
 
한국스탠다드차타드 은행은 보안프로그램을 설치해 정보접근을 제한하는 방법으로 고객정보 유출방지 대책을 마련했지만 전산프로그램 개발 업무를 담당하던 ㄴ씨는 간단한 조작으로 보안프로그램을 해제한 후 고객정보 파일을 USB에 저장해 5차례에 걸쳐 유출한 것이다.
 
검찰 측은 “두 은행들은 상시적인 교육 실시, 정보보안관리자 제도 시행, 전산운영기획부의 특별관리, 모니터링 시스템 구축 등의 방안을 시행하는 등 고객정보보호 정책을 시행하고 있었다. 그럼에도 불구하고 이런 사건이 발생한 것”이라며 한편 “ㄷ씨 등 유출된 고객정보를 유통시킨 관련자들은 모두 금융기관의 전현직 대출모집인들로서 자신들의 영업실적을 올리거나 또는 수백만원의 금전적 대가를 받고 고객정보를 쉽게 주변에 유통시켰다. 내부자들의 도덕적 해이가 문제다”라고 지적했다.
 
◇대량의 고객정보 유출에 따른 사회적 피해 심각
ㄱ씨가 유출한 한국씨티은행 고객정보는 성명, 휴대전화번호, 대출액, 대출이율, 대출잔액, 대출일자, 대출만기일자, 직장명 등이 망라된 3만 4천건에 달하는 대량의 유용한 고객정보들이었다.
 
ㄴ씨가 유출한 한국스탠다드차타드 은행 정보 또한 성명, 주민등록번호, 휴대전화번호, 직장명 등이 담긴 10만 3천 건에 달하는 대량의 유용한 고객정보였다.
 
검찰 측은 “해당 정보들이 대출모집인들 사이에서 교환되거나 건당 수십원에 쉽게 거래된 점에 비추어 유사한 경로를 통해 사금융업자, 사행업자 등 불법적인 목적으로 금융고객정보를 취득하려는 업자들에게 기하급수적으로 전파되었을 것으로 추정된다”며 “금융회사에서 유출된 고객정보는 대출모집인, 대부중개업자들 사이에서 생성시기, 주요정보 포함 여부에 따라 건당 5십원에서 5백원까지의 가격에 쉽게 거래되어 불법 행위자들의 범죄행위에 악용되는 바, 이로 인한 사회적 피해는 막대할 것으로 예상한다”고 밝혔다.
 
홍 검사는 “대출모집인, 대부중개업자들은 인터넷 비밀거래 또는 지인들을 통해 확보한 복수의 금융권 고객정보를 수수, 교환하면서 영업에 나서고 있는 바, 이번 사건의 불법사금융업자 2인이 보유하고 있던 개인정보만 해도 약 300만건에 달하는 대규”라며 “이번 고객 정보는 시중을 떠돌다가 결국 보이스피싱, 대출사기 등 악성범죄에 이용될 위험이 상존한다”고 우려했다.
 
또 홍 검사는 “이들로부터 압수한 USB에는 두 은행들 외에도 X저축은행, Y캐피탈, Z카드회사 등 다수의 금융기관에서 유출된 것으로 보이는 고객정보 약 300만건이 추가로 발견됐다”며 “수사 결과, 다수의 대출모집인들과 대부중개업자들은 각자 보유하는 고객정보를 수수·공유하며 전화나 문자 발송 등을 통해 대출영업에 나서고 있는 것으로 확인됐다. 또한 위 대출모집인 등에게 접근해 여러 금융회사 고객정보의 매수를 제의하는 전문 ‘개인정보 유통 브로커’도 존재하는 것으로 확인됐다”고 덧붙였다.

검찰 측은 “금감원 등 유관기관과 협조해 이번사건의 유출경위를 파악하고 관련자를 색출하기 위한 수사를 계속할 것이며 처벌규정 강화 등 관련 법규 보완, 감시체계 정비 등 의견을 관련 부처에 건의할 계획”이라고 밝혔다.
 
금감원 관계자는 “이번 사건은 단순 개인정보가 아닌 대출정보기 때문에 개인정보보호법 보다는 특별법인 금융관련법이 적용될 예정이며 조사를 거쳐 처벌할 방침”이라고 전했다.


출처 : http://www.dailysecu.com/news_view.php?article_id=5849