사업 운영 시 개인정보 보호 체크포인트

사례

대형 입시 전문업체가 해킹을 당해 14만 건에 달하는 개인정보가 유출된 것으로 확인됐습니다. 피해규모는 입시 전문업체의 실제 활동 회원 개인정보 유출 건수가 약 9,600건이며 휴면 계정까지 포함하면 약 14만 건에 달할 것으로 보았습니다. 입시 전문업체 관계자는 “별도로 운영하는 내부 관리자용 페이지에 해커로 추정되는 인물이 접근해 개인정보를 빼돌린 것으로 확인하고 바로 신고 조치했다”며 "조사를 받으면서 문제가 됐던 페이지에 대한 1차적 보완 조치는 완료한 상태"라고 설명했습니다. 이 업체는 관계부처에서 실시한 개인정보 보호 실태 현장검사에서 부실 관리로 적발돼 과태료를 납부했으나, 이후 채 3개월도 지나지 않아 대형 개인정보 유출 사고가 발생한 것이라 충격을 더하고 있습니다. 당시 입시 전문업체는 홈페이지를 탈퇴한 회원의 개인정보 24만여 건을 파기하지 않고 보관했다가 적발되었으며, 홈페이지 비밀번호를 변경할 때 전송 구간에서 비밀번호를 암호화하지 않는 등 법 위반 사항이 적발돼 과태료 1200만 원을 부과 받았습니다.

 

개인정보 처리위탁 준수사항

개인정보의 이전을 다음의 A사와 B사로 예를 들어 살펴볼까요? A사에서 B사로 개인정보가 별도의 법인으로 이전되는 경우, 업무의 관련성에 따라 개인정보의 처리위탁이나 제3자 제공으로 정의할 수 있습니다. 그 중에 처리위탁은 이전하는 자의 업무처리 범위 내에서 개인정보 처리가 행해지고 위탁자의 관리·감독을 받는 것을 의미하며, 제3자 제공은 이전받는 자, 즉 제3자의 이익을 위해서 개인정보가 처리되고 제3자가 자신의 책임 하에 개인정보를 처리하는 것을 의미합니다. 개인정보 처리자의 업무 목적으로 제3자에게 개인정보 수집, 보관, 처리, 이용, 제공, 파기 등을 위탁하는 경우, 개인정보 처리위탁을 받는 자와 개인정보 처리위탁을 하는 업무내용을 이용자에게 알리고 동의를 얻어야 하며, 수탁자가 이용자의 개인정보를 처리할 수 있는 목적을 미리 정해야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 처리해서는 안됩니다. 개인정보 처리위탁 시에는 수탁사에 대한 관리·감독의 책임은 위탁사에 있고, 개인정보 처리위탁 시 문서에 의하여야 하며, 수탁자에 대한 교육을 실시해야 합니다. 그리고 수탁자가 재위탁 시 위탁자의 동의 의무가 있습니다. 개인정보 처리위탁 시 유지 보수 단계에서 발생할 수 있는 위협 요소에 대한 보안 요구사항 도출 및 보안대책을 반영하여야 합니다. 정보시스템 위탁 운영계획서에는 위탁개요, 정보통신망 구성현황 및 보안대책, 위탁시스템의 개인정보 보유현황 및 보호대책, 운영효율 향상 및 서비스 개선 방안, 위탁운영비 세부산출 내역, 위탁시스템에 대한 향후 추진계획, 기타 보안 대책을 포함해야 합니다. 위탁 정보시스템 보안성 점검 항목으로는 위탁시스템에 대한 정보통신 보안 및 개인정보보호 관리 실태, 기반시스템 공동 활용현황, 서비스수준협약서 준수사항 등 효율적 운영 및 서비스 개선상태, 위탁비용의 적절성, 기타 위탁계약의 이행사항 등 위탁에 따른 전반적인 사항이 있습니다. 업무위탁에 따라 수탁사와 문서에 의해 계약해야 하고, 수탁사를 홈페이지 등에 공개해야 하며, 수탁사에 대한 교육, 실태점검 등 관리, 감독해야 합니다.

 

개인정보 원격접속 보안조치

개인정보처리시스템의 관리자 페이지에 대해 원격접속 시 불법적인 침입에 대한 차단 조치나 안전한 원격 접속이 가능한 보안 조치 사항을 반영하여야 합니다. 개인정보처리시스템 사용 여부에 따른 접근통제 방법은 다음과 같습니다. 업무용 컴퓨터만 이용하여 개인정보를 처리하는 경우, 운영체제 등에서 제공하는 접근통제 기능은 사용 가능합니다.

 

* 불법적인 침입 차단 조치 : FW, IDS, IPS, UTM 등 구축 / Secure OS, 자체 접근제어 등

* 안전한 원격 접속을 위한 조치 : VPN, 전용선, 공인인증서 등

 

개인정보가 포함된 출력물 보안조치

정보통신서비스 제공자는 개인정보처리시스템에서 개인정보 출력 시 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 해야 합니다. 업무에 따라 다른 출력항목이 출력되도록 구현하고 대리점, 고객상담, 영업 등 각각의 업무형태나 개인정보처리 시스템의 접근권한에 따라 보여지는 출력항목을 다르게 설정합니다. 그리고 인쇄물, 보조저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 반·출입 사항을 기록 또는 별도의 로그를 남기도록 조치합니다. 저와 함께 출력물 보안 조치 예시를 살펴볼까요? 인쇄물 출력 시 필요한 경우 출력자, 부서명, 문서명, 출력일자, 회사로고 등을 프린트 워터마킹 기술을 이용하여 삽입하고, DRM 등의 문서보안 솔루션을 이용하여 개인정보 파일을 암호화 하는 등의 조치가 가능합니다. 다음은 개인정보 마스킹 처리 화면 예시입니다. 성명 중 이름의 첫 번째 글자 이상에서 마스킹 처리하며, 생년월일, 전화번호 또는 휴대폰 전화번호의 국번, 주소의 읍 면 동, IP주소는 버전 4의 경우 17~24비트 영역, 버전 6의 경우 113~128비트 영역을 마스킹 처리합니다.

 

개인정보처리시스템 취약점 진단

개인정보처리시스템에 대해 주기적으로 취약점 진단을 수행하여 보안성을 유지하여야 합니다. 중소기업 및 비영리 단체는 한국인터넷진흥원이 제공하는 무료 원격 웹 취약점 점검 서비스를 이용해 웹 사이트 취약점을 진단할 수 있습니다

개인정보처리시스템 접속기록 관리

접속기록은 반기별 1회 이상 정기적으로 확인 및 감독해야 하며, 최소 6개월 이상 접속 기록을 보존·관리 합니다. 정보통신서비스제공자는 월 1회 이상 접속기록을 점검하며, 전기통신사업법상 기간통신사업자는 최소 2년간 접속기록을 보존·관리해야 합니다. 접속기록 관리 방법 및 절차 수립 시 고려사항으로는 기록 유지·관리가 필요한 주요 접속기록 식별, 개인정보처리시스템에서 생성되는 접속기록 파일 내용, 접속기록 파일의 생성량 및 생성주기, 요구되는 보안성에 따른 분석주기, 접속기록 파일 생성 및 보관정책 등이 있습니다. 접속기록 생명주기별 관리방안에 대해 살펴보면, 생성 시기에는 개인정보 열람·수정·삭제·출력 등의 작업이 발생한 경우 해당 작업의 식별정보, 접속 일시, 접속IP, 수행 업무 등을 기록으로 생성합니다. 보관 시기에는 접속기록을 별도의 DB나 서버 또는 물리적 매체에 안전하게 저장·보관해야 하며 이를 위해 필요한 기술적, 물리적 조치를 취해야 합니다. 그리고 파기 시기에는 접속기록에 개인정보가 포함되는 경우가 발생할 수 있어 접속기록의 보유기간이 경과한 경우 로우레벨 포맷 등 프로그램을 이용한 파기나 천공, 파쇄 등의 물리적인 파기 절차를 통해 복구·재생할 수 없는 형태로 파기해야 합니다.

개인정보 유출 시 신고

개인정보 처리 과정에서 개인정보 유출 발생 시 유출통지 및 신고를 해야 합니다. 먼저, 지체 없이 해당 이용자에게 유출된 개인정보의 항목, 유출된 시점과 그 경우, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 개인정보처리자의 대응조치 및 피해 구제절차, 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 알리며, 정보통신서비스제공자는 24시간 이내에 방송통신위원회 또는 한국인터넷진흥원에 신고합니다. 이용자에게 통지하는 방법은 메일, 서면, 전화 또는 이와 유사한 방법을 이용합니다. 사고에 관한 구체적 내용이 확인되지 않은 경우 현재까지 확인된 내용만 우선 통지할 수 있으며, 정당한 사유로 인해 이용자에게 유출 사실을 알리지 못한 경우, 각 사항을 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 갈음할 수 있습니다.

 

개인정보 이용내역 통지

개인정보 이용내역을 통지해야 하는 법적 기준 의무대상은 정보통신서비스 제공자로서 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신 서비스 부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자입니다. 개인정보의 수집·이용 목적, 수집한 개인정보 항목, 개인정보를 제공받은 자와 제공 목적, 취급위탁을 받은 자 및 취급위탁 업무의 내용을 전자우편이나 서면, 전화 등 이와 유사한 방법 중 하나의 방법으로 연 1회 이상 이용자에게 통지해야 합니다. 

개인정보 유출 시 신고

개인정보 처리 과정에서 개인정보 유출 발생 시 유출통지 및 신고를 해야 합니다. 먼저, 지체 없이 해당 이용자에게 유출된 개인정보의 항목, 유출된 시점과 그 경우, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 개인정보처리자의 대응조치 및 피해 구제절차, 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 알리며, 정보통신서비스제공자는 24시간 이내에 방송통신위원회 또는 한국인터넷진흥원에 신고합니다. 이용자에게 통지하는 방법은 메일, 서면, 전화 또는 이와 유사한 방법을 이용합니다. 사고에 관한 구체적 내용이 확인되지 않은 경우 현재까지 확인된 내용만 우선 통지할 수 있으며, 정당한 사유로 인해 이용자에게 유출 사실을 알리지 못한 경우, 각 사항을 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 갈음할 수 있습니다.

개인정보 이용내역 통지

개인정보 이용내역을 통지해야 하는 법적 기준 의무대상은 정보통신서비스 제공자로서 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신 서비스 부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자입니다. 개인정보의 수집·이용 목적, 수집한 개인정보 항목, 개인정보를 제공받은 자와 제공 목적, 취급위탁을 받은 자 및 취급위탁 업무의 내용을 전자우편이나 서면, 전화 등 이와 유사한 방법 중 하나의 방법으로 연 1회 이상 이용자에게 통지해야 합니다. 

휴면 계정 관리

개인정보를 수집할 당시 정한 보유기간 경과, 처리 목적 달성 시 지체 없이 파기하여야 합니다. 이를 위해, 회원이 탈퇴를 완료한 후, 자동으로 탈퇴한 회원 개인정보가 DB에서 삭제될 수 있도록 하고, 법령에 따라 회원탈퇴 후에도 보관이 필요한 경우 별도의 DB에 저장될 수 있도록 구성하며, 회원가입 시 개인정보 보유기간을 DB에 함께 저장하여 보유기간이 경과한 개인정보는 자동 삭제되도록 합니다. 개인정보파일에 대하여 '사용 중', '사용 안 함'으로 표시하여 파기하지 않고 계속 보유하는 것은 불가합니다.

 

Q & A

Q : 1년 이상 접속한 기록이 없는 이용자에 대해서 별도의 DB를 구성해서 보관을 해야 할까요?
A : 정보통신망 이용촉진 및 정보보호 등에 관한 법률(제29조(개인정보의 파기) 2항 및 동법 시행령 제16조)에 따라 1년 이상 장기미이용 회원님의 개인정보를 파기, 분리보관을 진행해야 합니다. 휴면계정으로 전환된 계정은 전환일로부터 4년이내에 홈페이지의 로그인을 통해 재이용신청을 진행하실 수 있으며, 일정한 절차를 완료하는 경우 일반계정으로 전환되어 서비스 이용이 가능합니다.