- 개인정보보호위원회(이하 개인정보위)는 인공지능 기술 개발 핵심 재료인 비정형데이터에 대한 가명처리 기준 마련 > AI, 컴퓨팅 자원의 발달로 비정형데이터(이미지·영상·음성·텍스트 등) 활용수요 폭발적 증가 > 기존 가명정보 처리 가이드라인(이하 가이드라인)은 정형데이터에 대한 처리기준만 제시 > 의견수렴 등 1년여 기간 동안 준비 작업을 거쳐 가이드라인 대폭 개정
- 개정 가이드라인 내용, 목적 등 > 비정형데이터의 가명처리 및 활용간 나타날 수 있는 개인정보 위험을 사전에 확인하고 통제하기 위한 원칙 > 각 분야 사례 및 시나리오를 제공해 손쉽게 활용할 수 있도록 함 > 여러 분야에서 안전한 가명처리시 유용하게 참고
2. 주요내용
- 개인식별 위험성 검토 체크리스트 > 개인식별 위험을 판단하고 합리적인 처리방법과 수준을 정하도록함
※ 비정형데이터: 개인식별 가능 정보에 대한 판단이 상황에 따라 달라질 수 있으므로, 데이터 처리목적 및 환경, 민감도 등을 종합적으로 고려
- 비정형데이터의 개인식별 위험 요인을 완벽하게 탐지 및 처리할 수 있는 기술 부재를 보완하기 위한 조치 이행 권고 > 가명처리 기술의 적절성·신뢰성 확인 위한 근거 작성·보관 > 가명처리 결과에 대해 자체적인 추가검수 수행 > 외부전문가가 참여한 위원회의 적정성 검토 수행
- 가명처리된 비정형데이터 활용 시 관련 시스템·소프트웨어의 접근·사용 제한 등 통제방안 마련 > 비정형데이터는 기술 발달(인공지능, 데이터 복원기술)에 따른 다른 정보와의 연계·결합 없이도 개인을 재식별해낼 수 있는 위험 > 인공지능 서비스 제공 과정에서도 개인식별 위험 등 정보주체 권익 침해 가능성을 지속 모니터링 ※ 인공지능 개발·활용 과정에서 나타날 수 있는 다양한 위험을 사전에 완벽하게 제거하는 것은 불가능하기 때문
- 가명처리 단계별로 고려해야 하는 사항을 안내 > 사전준비 - 위험성 검토 - 가명처리 - 적정성 검토 - 안전한 관리
- 비정형데이터 영역은 다양한 활용사례(use-case)를 축적하는 것이 중요 > 데이터 유형, 활용 분야마다 가명처리 기준‧방법이 다양 > 관련 기술 또한 빠르게 발전하고 있기때문 > 개인정보위는 사전적정성 검토 신청을 받아 모범사례를 확산시킬 계획
- 24.01.01 한국은행, 24.01.06 외교부 DDoS 공격 발생 > 해커 "‘MrCyber’" 한국은행 대상으로 공격도구 ‘ATTACK SENT’를 이용해 DDoS 감행 > 어나니머스는 이스라엘 지지를 이유로 외교부에 DDoS 감행
- 24.01.19 샤오치잉 소속 중국 해커 "니옌" 정부 기관 등 다수 웹 상디트 공격 예고 및 공격 동참 권유 > 김천녹색미래과학관 디페이스 공격을 시작으로 정부기관 및 교육 사이트 공격 예고 > 해커 "NIKTO_R007" 국내 교육 서비스 플랫폼 런피아 웹 페이지 디페이스 공격 및 공격 과정 유튜브 공개
- 24.01.23 해커 "Teamghostof_death" 해킹포럼에 우체국 개인정보 보유 및 판매 게시글 작성 > SQL 취약점을 악용해 6000개 이상의 개인정보를 탈취(1.5GB 용량) 했다 주장 > 협상을 위해 10일 동안의 시간을 제시하였으며, 결렬 시 데이터 개인정보 판매 예고 > 우정사업본부는 유출 흔적 없음 확인 발표
- 24.01.30 "니옌" 국내 공격 대상 IP, 공격 방법 등을 공개 > Oracle, SQL, WebShell 등을 이용
- 24.02.05 신원 미상 해킹그룹 대민 서비스 계정 13,000여개 유출 > 국정원은 미상 해킹그룹이 대민 서비스 이용자의 개인정보가 불법 유통되고 있는 정황 포착 > 인포스틸러 악성코드를 악용해 ID/PW 탈취
3. 대응방안
- 공격이 예고된 도메인 또는 일자 대상 모니터링 강화 - 알려진 취약점, 인증정보 등 부정사용에 대한 모니터링 강화
- 12.02 다크웹에 ‘JOBPLANET.CO.KR 380K EMPLOYMENT SEEKERS DATABASE’ 샘플 자료 공개 - 이메일, 해시코드, 주민등록번호, 연락처 등 개인정보 공개 > 과거 데이터 다수 포함_016, 018, 019 등 전화번호가 포함되어 있음
- 잡플래닛 운영사 브레인커머스측은 개인정보가 유출된 사실이 없다 발표 > 잡플래닛에서 암호화된 개인정보는 해킹이 불가능한 구조 > 공개된 샘플에는 잡플래닛이 수집하지도 않는 정보(주민등록번호)가 포함 > 로그 상에서도 해킹을 시도했거나 성공했다는 기록이 확인되지 않음
2. 샤오치잉 공격 시도 포착
1. 개요
- 샤오치잉, 11월 국내 언론사, 부동산 관련 사이트 공격 시도 포착 - 12.09 텔레그램을 통해 국내 개인정보 파일 공개
2. 주요내용
- 샤오치잉은 상반기 한국을 대상으로 여러 사이트를 공격 > SQL 인젝션 등 취약점과 해킹 툴을 악용해 디페이스공격과 개인정보를 탈취 - 11월부터 샤오치잉 활동 재개 확인 및 공격 시도 화면 텔레그램 공격 - 12.09 “한국의 신선한 데이터베이스” 텔레그램 공개 > 2020년 4월 30일로 표기된 엑셀파일 형태로 이름, 핸드폰번호, 사용 중인 신용카드 회사명 등이 기재 > 누구나 다운로드 할 수 있도록 한국인 및 중국인들의 개인정보가 담긴 파일, 링크, 이미지 및 동영상 등이 업로드
3. 골프존 랜섬웨어 감염 및 탈취 데이터 다크웹에 유출
1. 개요
- 11.23 골프존은 랜섬웨어에 감염 및 탈취 데이터 유출
2. 주요내용
- 골프존은 랜섬웨어에의해 11.23부터 5일 이상 서비스 장애 발생 > 회원정보 및 개인정보를 요구하는 골프존 사칭 스미싱 문자 확인 - 12.08 랜섬웨어 조직 ‘BLACK SUIT’은 다크웹의 릭(leak) 사이트에 골프존 탈취 파일 업로드 > 회원의 개인정보는 없는 것으로 보이나, 유출된 데이터를 활용한 2차 공격이 예상
4. 국내 온라인쇼핑몰 M사 개인정보 추정 데이터 유출
1. 개요
- UTC 기준 12일 06:16경 온라인쇼핑몰 M사의 개인정보를 다크웹에 공개
2. 주요내용
- 온라인쇼핑몰 M사의 개인정보 샘플을 다크웹에 공개 > 주소, 휴대폰 번호, 사용은행 계좌번호, 이메일주소, 전화번호 등이 샘플로 공개 > SQL 인젝션을 이용해 DB 추출 및 2023년 정보로, 1.8kk 데이터 보유 추정 - 공개한 데이터 형식을 보면, DB에서 직접 추출한 칼럼 형태로 공개되어 있어 실제 유출됐을 가능성이 매우 높음
* 행안부, 방통위, 금융위의 개인정보 보호 기능을 개인정보보호위원회로 통합, 망법 관련 규정의 이관, 가명정보 개념 도입 및 안전한 결합, 활용 등
- 데이터 3법 개정 국회 논의 시, 인공지능과 빅데이터 등 변화하는 환경에서 약화될 우려가 있는 국민의 정보주권 강화는 유보
> 데이터 시대로의 전화에 대응해 현실과 괴리된 불합리한 과제*가 존재
> 따라서, 데이터 경제 활성화의 장애 요인으로 작용할 우려
* 필수적 사전 동의 제도, 경직된 국외 이전 요건, 온-오프라인 규제 이원화 등
- 개보법 제정이래 민관산학의 의견을 반영한 첫번째 정부안
> 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반 마련
[사진 1] 개인정보호법 개정 의의
1.1 개보법 시행에 따른 하위 법령 개정 방향
- 23.09.15 시행되는 후속 시행령 및 고시 등을 우선적으로 개정
- 24.03 이후 시행 예정인 개인정보 전송요구권, 자동화된 결정에 대한 정보주체 권리 등은 사전 준비 후 시행시기에 맞추어 순차적으로 개정
2023.09.15 시행 (1차)
2024.03.15 이후 시행 (2차)
① 정보통신서비스 특례 정비, 이동형 영상기기 규정 ② 동의 받는 방법 및 추가적인 이용, 제공 ③ 개인정보 처리방침 평가제, 분쟁조정제도 절차 ④ 공공시스템운영기관 특례 등 안전성 확보조치 ⑤ 국외 이전 및 중지 명령 ⑥ 과징금 부과기준, 공표명령 등
① 자동화된 결정에 대한 정보주체의 권리 ② 공공기관 개인정보 보호 수준평가 ③ 개인정보 보호책임자의 업무 및 자격요건 ④ 손해배상의 보장 대상 범위 및 기준 ⑤ 개인정보 전송요구권 관련 규정
2. 주요내용
2.1 디지털 경제 성장 견인
항목
구분
설명
이동형 영상정보처리기기 규정 마련
필요성
기존은 고정형 영상기기(CCTV)만을 규율 > 이동형 영상정보처리기기의 특성에 맞는 기준제시에 한계 > 현재 이동형 영상기기를 통한 개인정보 수집, 이용 시 일반 규정이 적용 > 따라서 정보주체의 개별적 동의를 요하는 등 산업적 측면에서 유연한 대처에 한계
개정내용
공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 행위는 윈칙적으로 제한 > 개인정보 수집, 이용 사유에 해당하거나, 정보주체가 거부의사를 밝히지 않은 경우 예외적 허용 > 촬영을 하는 경우 불빛, 소리, 안내판, 서면, 안내방송 등으로 촬영 사실 표시
시행령
규정 신설 > 이동형 영상기기의 구체적인 범위 > 목욕실/화장실 등에서 영상기기 운영 제한의 예외 사유 > 촬영 사실 표시에 대한 방법 등
기대효과
모빌리티 시대 신산업 육성을 위한 이동형 기기 운영의 법적 근거 마련
온-오프라인 규제 일원화
필요성
데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례 규정으로 단순 이전 및 병합 > 온-오프라인 서비스의 경계가 모호함 > 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화: 기업의 법 적용 혼선 및 이중 부담이 발생
개정안
특례규정을 일반 규정과 일원화 > 모든 개인정보처리자 대상 동일행위-동일규제 원칙 적용 > 규정통합(유사 및 중복 규정은 일반 규정으로 통합, 정비) > 적용확대(특례 규정에만 존재하는 내용은 일반 규정으로 전환)
시행령
① 수집 출처 통지 및 이용, 제공 내역 통지 제도 정비 > 개인정보 보유량 기준으로 일원화 > 수집 출처 통지와 이용, 제공 내역 통지를 함께 통지 할 수 있도록 합리적 개선 > 이용, 제공 내역 통지가 모든 개인정보처리자로 확대됨에 따라 적용 대상을 조정 > 통지하는 방법에 개별적으로 정보주체에게 쉽게 알릴 수 있는 방법으로 다양화
② 안전성 확보 조치 중복 규정 일원화 > 일반규정(영 제30조)과 정보통신서비스제공자 특례규정(영 제48조의2)의 통합 > 안전조치를 위한 다양한 기술이 도입될 수 있도록 기술 중립적으로 정비 > 기술발전 및 다양성을 고려하여 개인정보처리시스템의 개념 및 정의 정비
③ 유출 통지 및 신고 중복 규정 일원화 > 개인정보 유출 사실을 알게 된 경우 72시간 이내 정보주체에 통지, 개인정보위(또는 KISA)에 신고 > 신고 시 개정 법률에서 개인정보 유형, 유출 경로 및 규모 등을 고려하도록 규정
④ 국내대리인 지정 > 국내대리인 지정 규정을 일반 규정으로 전환함에 따라 지정 대상자의 범위를 조정
⑤ 유효기간제 규정 삭제 > 정보통신서비스를 1년 이상 이용하지 않은 경우 파기 또는 별도 분리 저장하도록 한 규정 삭제
기대효과
데이터 3법 개정 시 단순 통합한 특례를 디지털 시대에 맞게 일반규정으로 전환 > 국민과 기업의 법 적용상의 혼란과 이중부담 해소
2.2 디지털 시대에 적합한 국민의 적극적 권리 강화
항목
구분
설명
형식적 동의제도 개선
필요성
사전동의 제도에 대한 과도한 의존으로 형식적 동의 및 동의 만능주의 관행 지속 > 필수적으로 동의해야만 서비스 이용 가능 및 실체적 통제 미흡
개정내용
동의제도 개선 > 정보주체의 실질적 동의권 보장,기업 등의 합리적인 개인정보 수집, 활용 지원 목적 > 특례 규정의 필수동의 규정을 정비, 동의 이외의 개인정보 적법 처리요건 활성화 > 공중위생 목적인 경우도 수집, 이용 요건 추가 > 국민 생명 등 보호를 위해 급박한 경우 유연하게 대응할 수 있도록 처리 요건 개선
시행령
필수동의 관행 개선 > 유효한 동의 기준 명확화 > 동의 없이 처리할 수 있는 개인정보에 대하여는 법적 근거를 구분해 처리방침에 공개 > 동의를 받으려면 정보주체의 자유로운 의사에 따르도록 하는 동의 원칙 구체화 > 정보주체가 동의 여부를 선택 할 수 있다는 사실을 구분하여 표시
기대효과
정보주체가 적정한 정보를 제공받아 실질적으로 선택할 수 있는 환경 마련
개인정보 처리방침 평가제 도입
필요성
국민의 개인정보 처리에 관한 법정 고지 사항을 담은 개인정보 처리방침 > 이에 대한 내용의 적정성 및 구체성, 판단기준 미비 등 실체적 통제 미흡
개정안
개인정보 처리방침 평가제 도입 > 개인정보 처리방침의 적정성을 평가하고, 결과 개선이 필요하다고 인정하는 경우 개선을 권고 > 처리방침 작성지침 준수 여부 > 정보주체가 이해하기 쉽게 작성했는지 여부 > 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 등 평가 개인정보처리자의 유형 및 매출액 규모, 처리하는 개인정보의 유형 및 규모, 처리 근거 및 방식 등을 종합적으로 고려하여 평가 대상을 선정할 수 있도록 규정
기대효과
개인정보처리자의 자율에 맡겨진 개인정보 처리방침에 대한 명확한 판단 기준 제시 > 처리방침 제도의 실질화 및 정보주체의 통제권 강화
개인정보 분쟁조정 제도 개선
필요성
개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제하는 분쟁조정제도 운영 > 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에 한계
개정안
분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대 > 분쟁조정 관련 사실 확인이 필요한 경우 현장출입 및 자료조사 등 사실조사에 대한 법적근거를 명확히 규정 > 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 거부로 간주하던 것에서 수락으로 간주하는 것으로 기준 전환
기대효과
개인정보처리자의 조정 참여 확대 > 분쟁조정의 실효성을 확보 > 정확한 사실관계 확정으로 분쟁조정의 심의, 결정에 대한 신뢰 제고
개인정보의 사적 목적 이용 금지
필요성
개인정보취급자의 개인정보 사적 이용에 대한 제재 근거가 없어 사적으로 개인정보를 이용한 경우에도 처벌 곤란 > 개인정보의 불법 사적 이용은 중대한 범죄행위로 수사 및 형사처벌 대상이나 기존 법에는 처벌 근거가 없음
개정안
제59조 제3호 금지행위 규정 > 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 이용하는 행위를 추가
기대효과
개인정보를 사적으로 무단 이용하는 것을 방지 > 정보주체의 개인정보 침해에 따른 피해 최소화
공공분야 개인정보 처리의 안전성 강화
필요성
공공부문에서 계속되어 온 개인정보 침해사고 근절을 위해 공공부문 안전조치 의무 강화, 개인정보파일 등록 대상 확대, 개인정보 영향평가 강화 등 필요
시행령
국민의 개인정보를 대규모로 처리하고 있는 공공기관 > 공공시스템 안전조치 강화, 개인정보파일 등록 정비, 개인정보 영향평가 결과 공개 등을 통해 안전성과 투명성 강화
① 주요 공공시스템을 운영하는 기관 등에 대해 안전조치 기준 강화 (24.09.15 시행) > 공공시스템 운영기관과 이용기관이 접근 권한을 체계적으로 관리 할 수 있는 근거 마련 > 접속기록 분석, 전담인력 등 배치, 시스템 관리책임자 지정 등 안전조치 의무 강화 > 권한의 범위를 초과하여 접근한 사실이 확인 될 경우 지체없이 정보주체에게 통지 등
② 공공기관의 개인정보파일 등록 대상 정비 > 내부적 업무처리 목적인 경우라도 일시적으로 처리되는 경우 등 관리의 필요가 없는 경우에만 등록 예외로 규정
③ 공공기관의 개인정보 영향평가 결과(요약본) 공개 근거 마련 > 개인정보 영향평가서 요약본을 공개할 수 있도록 하여 개인정보 처리의 투명성 강화
2.3 글로벌 스탠다드에 부합하는 법 제도 정비
항목
구분
설명
개인정보 국외이전 요건 다양화 및 보호조치 강화
필요성
국경 없는 온라인 상거래 확대 등으로 개인정보의 국외 이전 필요성이 증가 > 기존 법은 개인정보를 국외로 이전하기 위해서는 정보주체의 별도 동의 필요
개정내용
해외 법제와 상호 운용성 강화 > 동의 이외의 국외이전 적법 요건 다양화 및 중지명령권을 신설하여 보호조치 강화 > 요건 다양화: 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정하는 경우 등으로 다양화 > 보호조치 강화: 법 위반 또는 이전 국가 등이 개인정보를 적정하게 보호하고 있지 않아 정보 주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외이전 중지 명령권 신설
시행령
-국외 이전에 관한 전문적인 검토 및 심의를 위해 국외이전전문위원회를 운영 -개인정보 보호 인증 및 국가 인정에 대한 절차 및 기준 등을 시행령에 마련 -국외 이전 중지명령의 기준과 이의 제기 절차 등 세부적인 규정을 시행령에 마련
기대효과
- 개인정보 국외이전 요건을 다양화하여 법의 유연성을 제고 - 중지명령권으로 국외이전에 따른 안전망 강화
형벌 중심을 경제제재 중심으로 전환
필요성
경미한 위반사항까지도 형벌을 규정함 > 개인정보 업무담당자의 과중한 부담 및 업무회피 초래 > 과징금의 경우 위반행위 관련 매출액의 3% 이하로 상한액을 정하고 있어 글로벌 입법 추세에 맞춘 실효성 제고 방안 필요
개정내용
개인에 대한 형벌을 기업에 대한 경제 제재 중심으로 전환하여 실효성 제고 > 형벌 정비: 일반규정에 맞추어 정비, 과도한 형벌규정 삭제, 과징금 상한 및 대상 확대 > 과징금 확대: 개인정보처리자로 확대, 과징금 상한액 기준 변경 (전체 매축액 3% 이하) > 과징금 산정: 위반행위와 관련 없는 매출액은 제외
시행령
과징금이 위반행위에 비례하도록 산정되도록 함 > 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금 > 경미한 위반행위에 대하여는 면제가 가능하도록 산정기준을 개편 > 과징금 산정 기준 금액을 결정하는 비율을 정할 때, 위반행위의 중대성 정도에 따라 4구간-구간內 비율선택 방식으로 전환 > 부담능력 등을 감안하여 과징금 납부기한을 2년의 범위 내에서 연기할 수 있도록 > 분할하여 납부할 수 있는 근거 마련
기대효과
개인정보 보호에 대한 책임을 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환 > 기업 차원의 투자를 촉진하고 불법행위에 대한 실효성 있는 억지력을 확보
2.4 2024.03.15 이후 시행
항목
구분
설명
개인정보 전송요구권 도입
필요성
데이터 경제 활성화로 개인정보가 대량 수집, 유통 > 정보주체는 본인정보를 자기주도적으로 유통, 활용하는데 한계 > 일부 분야에서 개인정보 전송요구권 근거를 마련하여 마이 데이터 사업을 추진하고 있으나, 분야별 추진 방식에 대한 개선 필요
개정내용
국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적 권리로서 개인정보 전송요구권 신설 > 전송 방법, 전송 요구의 거절 및 전송 중단의 방법 등 구체적 사항은 시행령으로 위임
기대효과
국민 개개인이 데이터의 진정한 주인 > 마이데이터 제도를 통해 데이터에 기반한 다양한 서비스를 주도적으로 이용 > 다양한 비즈니스 기회가 창출되어 데이터 경제 시대 신성장을 위한 기틀 마련
자동화된 결정에 대한 정보주체의 권리 도입
필요성
인공지능 등 신기술 발전에 따라 자동화된 결정이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기 > 개인 의사에 반한 자동화된 결정으로 개인의 권리가 침해되지 않도록 정보주체의 대응권 보장 필요
개정내용
완전 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체에게 거부권, 설명 등 요구권 부여 > 개인정보처리자는 정보주체의 권리행사가 있으면 자동화 결정의 적용 배제, 인적 개입에 의한 재처리, 설명 등 조치 의무를 규정
기대효과
인공지능 등 신기술 발전에 대응하여 자동화된 결정 과정 및 결과에 대한 투명성을 높이고 정보주체인 국민의 대응권을 보장
- 데일리시큐 "[진단] 국민의힘·더불어민주당·정의당, 입법부 대표 정당들의 개인정보보호 민낯"
> 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
> 이전 개인정보 처리방침 변경 내용 확인 불가
> 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
> 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용
> 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
- 관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인
> 기사에서 언급된 문제점 또는 추가적인 문제점이 있는지를 검토
2. 주요내용
- 모공제조합 개인정보 처리방침의 내용에서 문제점으로 판단되는 총 5가지 항목 확인
- 국민신문고를 통해 개인정보보호위원회에 문의 진행
2.1 가시성 문제
- 개인정보 처리방침의 조항별 글씨 크기 및 글씨체의 차이를 보여 가시성이 떨어짐
[사진 1] 글씨 크기 차이 문제점
- 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과
> 제4항에 따라 보호위원회는 「개인정보 처리방침 작성지침」을 제공
「개인정보 보호법」 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. ④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
개인정보 처리방침 작성지침
개인정보처리자는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하여 작성해야 하며, 개인정보 처리 현황을 투명하고 구체적으로 수립 및 공개하여야 함
개인정보 처리방침은 누구나 이해하기 쉬운 명확하고 평이한 언어로 안내하여야 하며, 특히 해외사업자의 경우 국내이용자가 이해할 수 있는 쉽고 명확한 한글로 정보를 제공하여야 함
- 이에 따른 답변은 다음과 같음
① 「개인정보 보호법」 제30조 제4항에따라 보호위원회는 「개인정보 처리방침 작성지침」을 정하여 그 준수를 권장할 수 있음
② 즉, 권장 사항이므로 권장 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않음
③ 단, 법에 따른 필수 작성항목을 법령에 따라 적정하게 작성하고 있어야함
- 개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 작성하여 문서화한것을 말함
> 「개인정보 보호법」 제30조 제2항에따라 정보주체가 확인하기 쉽게 공개할 것을 의무화
> 또한, 개인정보 처리방침의 목적은 개인정보 처리의 투명성을 높이고, 정보주체에게 자신의 개인정보가 어떻게 처리되고 있는지 처리방침을 통해 상시적으로 확인 및 비교하도록 하여 개인정보 자기결정권을 보장하기 위함이라고 생각함
- 해당 목적을 달성하기 위해서는 개인정보처리자가 정보주체로 하여금 이해하기 쉽도록 작성하는것을 보장하도록 할 필요가 있음
> 법에서 명시한 내용을 문서에 모두 포함하였다고 하여도, 내용 작성 방식의 문제로 인해 정보주체가 쉽게 확인 및 이해하지 못하는 문제가 충분히 발생할 수 있을 것으로 생각되기 때문
2.2 열람요구서, 위임장 등 다운로드 기능 부재
- 데일리시큐의 기사에서는 열람요구서, 위임장 등을 다운로드할 수 있는 기능이 없음을 문제점으로 지적
> 확인 결과 일부 사이트의 경우 다운로가 아닌 해당 파일이 위치한 경로 또는 법 별지 서식 이용 안내
- 공제조합 또한 별지 서식이용을 안내하고 있음
> 따라서, 단순히 다운로드 기능이 없다고 해서 문제점으로 지적하는 것은 합당하지 않다고 판단하여 문의 진행
- 이에 따른 답변은 다음과 같음
> 열람요구서 및 위임장 다운로드 기능과 관련하여, 개인정보 처리방침에 포함하는 것을 의무화하지 않음
> 개인정보 처리자의 자율에 맡겨진 사항
- 정보주체는 개인정보처리자가 처리하는 자신의 개인정보를 열람한 후 정정 또는 삭제를 요구할 수 있음
> 해당 과정을 처리하는 방식이 업종별로 상이할 수 있겠지만, 정보주체의 권리를 보장하기 위해 통일된 방식을 사용하는 것이 좋을것 같음
2.3 개인정보보호법 시행규칙 단어 사용
- 개인정보보호법에서 행안부령(행정안전부)으로 정하던 사항을 개인정보보회위원회가 정하여 고시하도록 개인정보보호법이 개정됨
> 따라서, "개인정보보호법 시행규칙" 단어를 삭제하거나 다른 단어로 정정되어야 할 것임
- 공제조합은 개인정보보호법 시행규칙을 아직 사용하는 것으로 확인
[사진 2] 개인정보보호법 시행규칙 사용
- 이에 따른 답변은 다음과 같음
> 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경
> 용어의 변경이 필요함
- 관련 내용은 23.09.15부터 시행되는 개인정보보호법에 의거 개선될 것으로 기대됨
제30조의2(개인정보 처리방침의 평가 및 개선권고)
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다. 1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부 2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부 3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 ② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2023. 3. 14.] [시행일: 2023. 9. 15.] 제30조의2
2.4 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집
- 「개인정보 보호법」 제3조 제1항에서 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집하도록 지정
> 작성지침에서는 수집목적에 필요한 최소한의 정보(필수항목)와 그 외의 정보(선택항목)을 구분하여 기재 안내
* 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/수집항목을 구분하지 않아도 됨
- 공제조합의 경우 필수와 선택항목의 구분이 없으며 원적, 본적, 종교 등 불필요한 정보를 수집하는 것으로 판단
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
2.5 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항
-「개인정보 보호법」 제30조 제1항 제7호에서개인정보 자동 수집 장치의 설치, 운영 및 근거에 관한 사항을 포함하도록 지정
> 작성지침에서는 쿠키와 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우, 설치 및 운영, 그 거부에 관한 사항을 기재하여야 함
[사진 3] 작성지침에 따른 작성 예시
- 공제조합의 경우 관련되 내용을 "생성정보 수집 툴을 통한 수집"으로 안내
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
[사진 4] 공제조합의 안내
3. 문의 및 답변 전문
문의
답변
안녕하세요.
데일리시큐를통해 국내 입법부 대표 정당의 개인정보 처리방침 관련 문제점을 확인하였습니다.
관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인하여 기사에서 언급한 문제점과 기타 문제점이 있는지 찾아보았습니다.
모공제조합 개인정보 처리방침을 보던 중 궁금한 사항이 있어 문의 드립니다.
① 가시성 문제 개인정보 처리방침 작성 가이드라인에 따르면 정보주체가 쉽게 확인할 수 있도록 작성해야 하는 것으로 확인됩니다.
하지만, 조합의 개인정보 처리방침을 확인해보니 각 조항의 글씨 크기 및 글씨체가 큰 차이를 보이고 있어 가시성이 확보되지 않는 것으로 판단되어 문의 드립니다.
② 열람요구서, 위임장 등 다운로드 기능 부재 데일리시큐에서 확인한 기사에 따르면 열람요구서와 위임장 등을 다운로드 할 수 있는 기능이 없는 점을 문제점으로 꼽았습니다.
하지만, 일부 사이트의 경우 다운로드가 아닌 해당 파일이 위치한 경로나 개인정보보호법 시행령의 별지 서식을 사용하는 것을 안내하고 있었습니다.
조합의 경우에도 시행령 별지 서식 이용을 안내하고 있습니다.
그렇다면, 기사에서 언급한 다운로드 기능 부재의 경우는 문제점으로 선정할 수 없을것이라고 생각되어 문의 드립니다.
③ 개인정보보호법 시행규칙 단어 사용 개인정보보호법에서 행안부령으로 정하던 사항을 개인정보보호위원회가 정하여 고시하도록 변경됨에 따라 20.08.05부터 개인정보보호법 시행규칙이 전부 폐지된 것으로 알고있습니다.
조합의 경우 "개인정보 보호법 시행규칙" 또는 "개인정보보호법시행규칙" 단어를 사용하고 있는 것으로 확인되어 문의 드립니다.
④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집 개인정보 처리방침 작성 가이드라인에서는 필요한 최소한의 항목(필수항목)과 그 외 정보(선택항목)을 구분하여 기재하며, 필수항목만을 수집하는 경우에는 구분하지 않아도 된다고 안내하고 있습니다.
조합의 경우 필수 및 선택 구분을 두지않고 있으며, 수집하는 개인정보 또한 원적, 본적, 해외여행, 종교 등 불필요한 정보를 수집하고 있는것으로 판단되어 문의 드립니다.
⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항 개인정보 처리방침 작성 가이드라인에서는 쿠키 등과 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우 설치ㆍ운영 및 거부에 관한 사항을 공개하도록 되어있습니다.
조합의 경우 수집방법의 하나로 생성정보 수집 툴을 통한 수집으로만 안내를 하고있어 관련 정보가 부족하다고 판단되어 문의 드립니다.
1. 안녕하십니까? 귀하께서 국민신문고를 통해 신청하신 민원(신청번호 -)에 대한 검토 결과를 다음과 같이 알려드립니다.
2. 귀하께서는 개인정보 처리방침과 관련한 것으로 이해됩니다.
3. 귀하의 질의사항에 대해 검토한 의견은 다음과 같습니다.
가. 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과하고 있으며, 보호위원회는 개인정보의 처리방침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있습니다. 이에 「개인정보 처리방침 작성지침」은 권장 사항이며 법에서 정하고 있는 개인정보 처리방침 필수 작성항목을 법령에 따라 적정하게 작성하고 있다면 처리방침 작성지침에서 권장하는 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않습니다.
나. 개인정보 처리방침의 가시성과 관련해서 표준지침에 따르면 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하도록 하고 있습니다.
다. 열람요구서 및 위임장 다운로드 기능과 관련해서 개인정보 처리방침 작성지침이나 표준지침에서는 이 같은 기능을 추가할 것을 의무화하고 있지 않으며 개인정보처리자의 자율에 맡겨진 사항임을 알려드립니다.
라. 개인정보 보호법 시행규칙 단어 사용과 관련해서, 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경되었으므로 용어의 변경이 필요함을 안내드립니다.
마. 개인정보 수집 관련 필수, 선택항목 구분, 불필요한 정보인지 여부 및 개인정보 자동수집장치와 관련된 방식의 적합성 여부 등과 관련해서는 구체적 사실확인이 필요한 사안으로 일률적으로 답변드리기 어려운 점 양해 바랍니다.
4. 귀하의 질문에 만족스러운 답변이 되었기를 바라며, 답변 내용에 대한 추가 설명이 필요한 경우 -에게 연락주시면 친절히 안내해 드리도록 하겠습니다. 감사합니다. 끝.
- 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 「개인정보 보호법」에 따른 기재사항을 포함하여 문서화한 것
- 개인정보처리자는 개인정보보호법 제30조에 의거 개인정보 처리방침을 수립 및 공개하여야 함
> 공공기관의 경우 개인정보보호법 제32조에 의거 개인정보파일을 등록 및 공개하여야 함
※ 개인정보보호법 개정으로 23.09.15부터 제30조에 민감정보 및 가명정보와 관련된 조항이 추가
※ 개인정보보호법 개정으로 23.09.15부터 제30조의2(개인정보 처리방침의 평가 및 개선권고) 추가
개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1.1 개인정보보호위원회 개인정보 처리방침 작성 가이드라인
- 개인정보보호위원회는 개인정보 처리방침 작성 가이드라인을 배포
- 가이드라인 상 개인정보 처리방침 기재 사항은 다음과 같음
※ 기타 자세한 사항은 [1] 참고
1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항 (해당되는 경우에만 정함) 4. 개인정보의 파기절차 및 파기방법(법 제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목) 5. 개인정보처리의 위탁에 관한 사항 (해당되는 경우에만 정함) 6. 정보주체와 법정대리인의 권리․의무 및 그 행사방법에 관한 사항 7. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 8. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 (해당되는 경우에만 정함) 9. 처리하는 개인정보의 항목 10. 개인정보의 안전성 확보조치에 관한 사항 11. 개인정보 처리방침의 변경에 관한 사항 12. 개인정보의 열람청구를 접수․처리하는 부서 13. 정보주체의 권익침해에 대한 구제방법 14. 가명정보를 처리하는 경우 가명정보 처리에 관한 사항(해당되는 경우에만 작성) - 가명정보의 처리 목적 - 가명정보의 처리 및 보유 기간 - 가명정보의 제3자 제공에 관한 사항(해당되는 경우에만 작성) - 가명정보 처리의 위탁에 관한 사항(해당되는 경우에만 작성) - 가명처리하는 개인정보의 항목 - 법 제28조의4에 따른 가명정보의 안전성 확보조치에 관한 사항 15. 국내대리인을 지정한 경우 국내대리인의 성명(법인의 경우 그 명칭 및 대표자의 성명), 주소(법인의 경우 영업소 소재지), 전화번호 및 전자우편 주소 (해당되는 경우에만 작성) 16. 추가적인 이용·제공 관련 영 제14조의2 제1항 각 호의 고려사항에 대한 판단기준 (해당되는 경우에만 작성) 17. 영상정보처리기기 운영․관리에 관한 사항 (「개인정보 보호법」 제25조제7항에 따른 ‘영상정보처리기기 운영․관리방침’을 개인정보처리방침에 포함하여 정하는 경우) 18. 그 밖에 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항
2. 정당별 문제점
2.1 국민의힘
[사진 1] 국민의힘 홈페이지
① 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
반드시 “개인정보 처리방침”이라는 명칭을 사용하고, 글자크기․색상 등을 활용하여 다른 고지사항(이용약관, 저작권 안내 등)과 구분하여 정보주체가 쉽게 확인하도록 해야 함
② 이전 개인정보 처리방침 변경 내용 확인 불가
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
개인정보 보호법, 같은 법 시행령 및 표준 개인정보 보호지침(이하 ‘표준지침’)은 “개인정보 처리방침”에 포함되어야 하는 사항을 규정함 11. 개인정보 처리방침의 변경에 관한 사항
③ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
> 가이드라인에서 관련된 정보를 찾지못함
> 일부 지자체 개인정보 처리방침 확인 결과 열람요구서와 법정대리인 등 위임장 작성을 위한 문서 다운로드 기능이 존재
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
해당 개인정보처리자에 대해 정보주체가 지니는 개인정보 열람, 정정․삭제, 처리정지 등 행사방법, 행사절차 등을 구체적으로 기재
2.2 더불어민주당
[사진 2] 더불어민주당 홈페이지
① 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
② 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용
③ 이전 개인정보 처리방침 변경 내용 확인 불가
④ 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
수집목적에 필요한 최소한의 정보(필수항목)과 그 외의 정보(선택항목)을 구분하여 기재함 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/선택항목을 구분하지 않아도 됨
⑤ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
2.3 정의당
[사진 3] 정의당 홈페이지
① 개인정보 처리방침 확인 불가
> 우측 하단 이용안내를 통해 관련 내용을 확인할 수 있음
② '개인정보 취급방침' 용어 사용
③ 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
④ 이전 개인정보 처리방침 변경 내용 확인 불가
⑤ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는기능 없음
3. 관련 추가 사례
- 해당 기사를 접한 후 지자체, 금융, IT, 의료, 교육 등 여러 사이트를 확인해 보았음
> 기사에서 언급한 사항과 관련된 문제점을 찾아볼 수 없었음
> 별도 페이지를 마련하는 등 더욱 세분화하여 개인정보 처리 관련 정보를 제공
- 모 조합 사이트에서 일부 문제점으로 판단되는 사항이있어 개인정보보호위원회에 문의를 진행
① 가시성 문제: 글씨 크기 및 글씨체의 차이로인한 가시성 확보의 어려움
② 열람요구서, 위임장 등 다운로드 기능 부재: 개인정보호법 별지 서식 이용 안내
③ 개인정보보호법 시행규칙 단어 사용: 20.08.05부 개인정보보호법 시행령 폐지
④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다 수집: 불필요한 정보의 수집
⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항: 생성정보 수집 툴을 통한 수집 중
- SK바이오팜 관계자는 랜섬웨어 공격을 받음을 인정 및 민감정보 유출은 없으며, 구체적인 사항은 비공개
2. RA 랜섬웨어 그룹에 의한 한국 기업의 정보 유출
1. 개요
- 바북(Babuk) 랜섬웨어의 소스코드를 이용해 미국과 한국의 기업들을 침해 - 주로 제조사, 자산 관리 업체, 보험사, 제약 회사 등에서 피해가 발견
2. 주요내용
- 한국 기업과 관련된 1.4TB 크기의 데이터 유출
- 피해자 데이터의 전체 파일 목록을 다운로드할 수 있는 URL을 제공
3. 챗GPT 크리덴셜 발견
1. 개요
- 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출
2. 주요내용
- 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견
4. 제로다크웹 다크웹 모니터링
1. 개요
- 국내 100대 기업 및 국내 30대 금융사 대상 다크웹 정보 유출 모의 조사 수행
2. 주요내용
-국내 100대 기업 관련 내용
> 99개 사에서 유출된 계정은 총 105만 2,537개, 사내 문서 유출은 87개 회사, 해킹 우려 PC는 1만 5,028대 (81개 사) 등
> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치
- 국내 30대 금융사 관련 내용
> 메일 계정 유출 19만 6,395개, 사내 문서 유출 23개 금융사, PC 해킹 우려 18개 금융사 1,137대
> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치
3. 대응방안
- 즉시 보안 전문가 및 전문 회사를 통해 유출 경로 파악 - 유출된 정보를 보호하기 위해 비밀번호 변경 및 보안 인증 절차 강화 - 유출 경로 및 방법을 파악한 경우 관련 상세내용을 사내고지하고 사원 전원이 경계심을 갖도록 교육 - 자동 감사 솔루션을 사용하여 보안 문제 점검 및 감시 - 새로운 보안 절차 작성, 전사 취약성 확인, 지속적 모니터링 시스템의 도입 및 정기 유지보수 계획 검토
