꼰머의 보안공부

1. 계정 정보 평문 노출 관련 1차 문의

- A 도서출판사에 도서 관련 문의를 위해 홈페이지 접속

> 게시판 사용을 위해서는 로그인이 필요

> 계정 정보가 기억나지 않아 "아이디/비밀번호 찾기" 진행

> 메일로 수신한 계정 정보 확인 결과 PW가 평문으로 노출되어 있었고, KISA에 1차 문의 진행

2. 계정 정보 평문 노출 관련 1차 신고

- 위 내용과 관련하여 KISA에 개인정보 침해 신고 접수

> 추가로, 도서 문의 후 계정 탈퇴를 진행하였으나 즉각 삭제가 아닌 일정 시간 후 삭제되어 관련 내용에 관한 문의 진행

> 삭제 후 일정 시간 동안 계정 찾기를 통해 ID/PW를 찾을 수 있었으며, 마찬기지로 PW가 평문으로 노출되어 수신

> 개인정보 삭제 요구와 관련된 답변을 수신 하였으며, 비밀번호 평문 노출 관련 신고를 권고

※ 개인정보 침해 또는 노출 신고 시 해당 내용만을 양식에 맞추어 신고할 필요가 있음을 인지

3. 계정 정보 평문 노출 관련 2차 신고

- 개인정보보호위원회로 신고 및 KISA로 민원 이송 답변

4. 계정 정보 평문 노출 관련 3차 신고

- KISA로부터 해당 민원은 이전 개인정보 노출 신고건과 동일한 건으로 침해신고센터에서 검토 진행 안내 메일 수신

> KISA 개인정보침해신고센터로부터 안전조치 의무 시행(비밀번호 암호화) 관련 신고 접수 안내 메일 수신 후 대기 중

아침에 일어나 보니 카카오톡으로부터 "카카오계정 보호조치 안내" 톡을 받았다. 내용을 보아하니 카카오 계정에 의심스러운 로그인 시도 등 비정상적인 시도가 감지되었고, 보호를 위한 일종의  조치가 취해진 것 같다.

자세히 알아보기를 통해 확인한 내용을 요약하면 유출된 비밀번호 사용, 비정상적 로그인 시도, 다수의 어뷰징이 발생한 환경에서 로그인 등이 발생하여 보호 조치가 취해졌으며, 비밀번호 변경, 로그인 기록 관리, 2단계 인증 설정, 국가별 로그인 설정을 대응 방안으로 안내하고 있다.

크게 의심되는 정황은 없어 우선 로그인 이력 조회(모바일 카카오톡 > 더보기 > 설정 > 카카오계정 > 로그인 관리 > 로그인 이력 조회)를 확인해 보았더니, 일반 로그인 이력에서는 특이사항이 없었으나, POP3/IMAP 이력에서 IP 27.255.91.225 (대한민국)에서의 로그인 시도가 확인되었다. 여러 사이트에 IP 조회를 해보니 모두 대한민국으로 조회되었고, ISP 업체는 국내 IT 기업으로 확인되나, 100% 신뢰하지는 않는다.

POP3 설정 안내를 확인해보니 설정 OFF의 경우, 로그인 시도는 있었지만 메일 서비스 이용은 실패한 상태라는 안내가 확인되었다. 좀 더 구글링을 해보니 POP3/IMAP을 사용할 경우 외부 메일을 끌어와서 볼 수 있는 기능으로 확인되었다. 예를 들어 네이버 메일에 POP3/IMAP 기능을 설정하면 스마트폰, 아웃룩 등에서 네이버 메일을 확인할 수 있게 된다. 정리하면 외부의 아무개가 다음메일의 POP3/IMAP 기능을 이용해 외부 메일과 연동하려는 시도가 있었던 것으로 판단된다.

그래서, 비밀번호 변경, 2단계 인증 사용, 국가별 로그인 제한을 설정했고, 이메일과 전화번호 또한 변경하였다. 다음 메일을 확인(다음 메일 > 설정 > IMAP/POP3)해 보니 POP3/IMAP을 사용 안 함으로 설정되어 있었다(디폴트로 사용 안 함으로 설정되어 있는 것으로 판단된다).  

또, 네이버 메일을 확인(메일 > 환경설정 > POP3/IMAP 설정)해 보니 역시 POP3/IMAP 사용 안 함으로 설정되어 있었다. 마찬가지로 기존에 사용 중이던 2단계 인증을 제외하고, 타 지역 로그인 차단, 해외 로그인 차단, 새 기기 로그인 알람, 새로운 환경 로그인 알림을 다시 설정해 적용하였다(과정 중에 로그인 전용 아이디라는 것이 있던데 오직 로그인만을 위한 아이디로써, 관련 정보를 좀 더 찾아봐야겠다). 추가적으로 만약 네이버 메일에서 POP3/IMAP을 사용할 경우 2단계 인증을 사용할 것을 권장하며, 이 경우 애플리케이션 비밀번호를 생성한 후 해당 비밀번호를 이용해야만 외부 메일 등록이 가능하다고 한다.

POP3/IMAP을 이용한 해킹 시도는 처음 겪어봐 무서우면서도 한편으로 어떻게든 해킹하려는 아무개가 대단하게 느껴지기도 했다. 보안을 전공하면서, 안전하게 인터넷 서비스를 이용하려 여러 노력을 하고 있지만, 좀 더 많은 주의가 필요하다는 것을 느끼게 된 하루였다.

사실 미션임파서블은 들어보기만 했지 실제로 관람한 적은 없었던 것 같다. 에단 헌트 역을 맡은 톰 크루즈님이 대역 없이 다양한 액션신을 소화해 내는 영화로만 알고 있었다. '미션임파서블 7 데드레코닝'을 관람한 후기를 한마디로 정의하자면 신기술 AI와 관련하여 우리가 어떤 자세를 취해야 하는지 제고시켜주는 영화라고 생각했다.

전반적인 패션, 기술, 문화 등 여러 분야에서의 트렌드를 영화, 음악, 예능과 같은 대중문화에서 잘 보여준다고 생각한다. 왜냐하면 대중문화야말로 일반 대중에게 소개되어 공감을 얻어야 관심을 끌 수 있고 여러 커뮤니티 등에서 실시간으로 공유되며, 이를 통해 밈과 유행어 같은 새로운 문화가 형성된다고 생각하기 때문이다.

미션임파서블 7에서 AI는 '엔티티'라는 강인공지능이 메인 빌런으로 등장한다. 엔티티는 무한한 연산을 통해 미래를 예측하여 원하는 미래로 유도하고, 이를 계속하고 학습ㆍ계산ㆍ예측ㆍ활용하여 끊임없이 엔티티가 유도하는 미래로 설계되도록 한다. 영화에서는 핵잠수함의 레이더를 조작해 존재하지 않는 적 잠수함과 어뢰를 만들어 결과적으로 핵잠수함을 침몰시키고, 가짜 핵폭탄을 보내거나, AR 선글라스를 조작하고, 무전을 해킹해 목소리를 흉내 내는 등 다양한 모습을 보여준다.

엔티티는 일련의 학습과 예측으로 통신망을 장악하고, 여러 디지털 기기를 순식간에 해킹하며 통신 중간에 개입해 교란을 발생시키나, 아날로그 기기에는 접근할 수 없다는 단점을 이용해 연식이 오래된 인공위성이나 모터보트 등 디지털이 아닌 통신장비를 이용했다. 또한, 디지털 기기여도 전원이 꺼지면 통제가 불가능하며, 자신의 예상 범위를 벗어나면 당황한 모습을 보여주는 단점이 있다.

사실 AI와 관련된 논의는 이전부터 계속되어 왔으며, 최근 챗GPT를 시작으로 AI와 관련된 기술과 연구ㆍ개발에 관심이 집중되고 있다. 국제적으로는 기술 우위를 선점하려는 움직임과 관련된 규제 및 표준을 마련하기 위한 움직임이 있다. 어느 분야에서나 그러하듯이 AI 기술 개발에 찬성하고 권장하는 입장이 있으며, 반대하고 우려를 표하는 입장 또한 존재한다. 

국제사회의 경우 23.07.18 유엔 안전보장이사회는 AI의 위험을 주요 안건으로 올렸으며, 이는 안보리 역사상 AI와 관련된 첫 공식 논의였다. 우리나라의 경우 인공지능 시장에서 기술 우위를 점하기 위해 여러 노력을 하고 있으며, 국정원에서 생성형 AI 활용 보안 가이드라인을, 한국지식재산연구원에서 내년 상반기 중 완성을 목표로 생성형 AI를 둘러싼 쟁점을 정리하고 이를 규율할 가이드라인과 법안을 마련하는 연구를 맡게 돼었다.

비슷한 내용으로 얼마 전 개봉한 '명탐정 코난:흑철의 어영'에서도 AI 기술이 등장한다. 인터폴의 최첨단 정보 해양 시설인 '퍼시픽 부이'에서 개발 중인 '전연령 인식' 이라는 AI 기술을 차지하려는 검은 조직과 코난 일행의 추격전을 그려낸 영화이다. 영화에 따르면 '전연령 인식' 기술은 일본과 유럽의 CCTV를 확인할 수 있을 뿐만 아니라 장기 수배범이나 유괴당한 피해자를 전 세계에서 찾아낼 수 있는 기술이라고 한다. 또한 영화는 살인사건에 딥페이크를 이용하는 등 AI의 부정적인 모습도 그려낸다. 해당 기술을 사용하면 어린아이로 위장해 검은 조직의 비밀을 파헤치려는 코난과 하이바라의 정체가 발각되는 것은 시간문제일 것이다.

제2차 세계대전이 한창이던 때 미국에서 루스벨트 대통령과 이론물리학자 로버트 오펜하이머의 주도하에 약 13만 명을 동원해 핵폭탄 개발 프로젝트 '맨해튼 프로젝트'를 극비리에 진행했다. 루스벨트 대통령이 뇌출혈로 사망한 후 취임한 트루먼(당시 부통령)이 담당자로부터 관련된 보고를 받고 프로젝트의 존재를 알게 된 만큼 극비리에 진행되었던 연구였다. 결과적으로 미국은 어느 나라보다 핵폭탄을 먼저 개발하였고, 이를 일본 히로시마와 나가사키에 각 한 발씩 투하함으로써 전쟁을 끝낼 수 있었다. 당시에는 전쟁을 끝냈다는 것에 성취를 느꼈으나, 머지않아 핵폭탄의 엄청난 파괴력을 실감한 여러 국가들이 핵실험을 시작했고, 현재 세계 각국이 보유한 핵무기의 양은 지구를 몇 번씩이나 파괴하고도 남을 정도라고 한다. 이에 전 세계는 핵확산금지조약, 국제원자력기구 등을 설립해 핵 확산을 억제하고 있지만, 아직까지도 핵우산, 상호확증파괴 등의 전략이 존재하는 아이러니한 상황이 연출되고 있다.

이처럼, 인류는 궁극적으로는 도움이 되는 기술을 개발하기 위해 여러 실험을 진행해 다양한 결과를 도출시킨다. 단순히 인류에 도움을 주기 위함이라는 안일한 생각에서 끝나지 않고 더 나아가 해당 기술로 인해 발생 가능한 장단점을 기술, 문화, 외교, 역사, 민생 등 다양한 방면에서 충분한 논의를 거쳐야 할 필요가 있다고 생각한다. 또한, 기술이 인류의 통제를 벗어나지 않도록 각 국가별 윤리적 규범과 제제 및 법률뿐 아니라 국제적인 협력이 필요할 것으로 생각된다.

오랜만에 잠실 롯데월드몰에서 쇼핑을 했다. 친구를 만나기 전에 시간이 남아 구경하며 시간을 때우려 했었는데, 그동안 살까 말까 고민하던 향수를 구매하였다. 사실 대학교 다닐 때 잠깐 향수를 사용했었는데, 그때는 향기 보다 가격에 더 우선순위를 두어서 그런지 매번 향수는 별로라고 생각했었다. 그러다 우연히 지인들과 향수 얘기를 하게 되어 다시 사볼까 하는 생각이 들기도 했던지라 우연한 기회가 온 만큼 구매를 하게 되었다.

두 가지 향수를 구매했는데, 한 가지는 러쉬 더티이고, 다른 한 가지는 메종 마르지엘라 레이지 선데이 모닝이다. 

먼저 러쉬 더티는 추천하는 글을 너무나도 많이 봐서 혹시 마케팅이 아닌가 할 정도로 의심을 했었다. 그리고, 매장을 지날 때 풍기는 향이 너무 진하다는 생각도 했었다. 매장을 방문하기 전까지도 긴가민가 하다가 밑져야 본전이라는 생각에 매장을 방문했고 직원분에게 20대 남자가 쓰기 좋은 향수가 있을까 물어보았다. 

직원분께서는 더티와 팬지를 추천해 주셨다. 더티를 시향 해 보았을 때 상쾌한 민트향이 강했고, 팬지는 오렌지향이 강했었다. 두 가지 모두 첫 향과 잔향감을 맡아보고 큰 차이가 없는 것 같아 고민하다가 더티로 결정했다. 두 가지 외에도 여러 향을 시향 해 보았는데 러쉬 향 자체가 강한 느낌이 강한 것 같다는 느낌을 받았다. 한 가지 아쉬운 점은 향수 캡이 얇고 힘이 없어 불안한 느낌이 없지 않아 있다.

메종 마르지엘라 레이지 선데이 모닝은 이름에서도 알 수 있듯이 포근한 향이었다. 향수를 포장한 상자에도 이름에 어울리는 포근한 그림이 프린팅 되어있다. 매장에서는 향수 앞에 놓인 시향지를 통해 시향을 할 수 있었다. 시향한 느낌은 더티나 팬지와 달리 포근하고 가벼운 꽃 향이라는 생각이 들었다. 거리를 지나다 은은하게 퍼지는 꽃향기처럼 부담스럽지 않고 기분 좋은 향이었다. 시향을 하면 할 수록 점점 향기에 매료되어갔다. 향수 보틀이 다른 향수 보틀과 달리 독특한데, 찾아보니 약재용 병에서 영감을 받아 캡이 없는 디자인이 특징이라고 한다. 

그리고 친구와 같이 시화나래휴게소를 향해 드라이브를 다녀왔다. 날씨가 좋고 주말이라 이동하는 차들이 많아 정체가 있었지만 맑은 하늘과 신나는 노래를 틀어놓고 수다를 떨다 보니 정체가 신경 쓰이지 않았다. 서해라서 혹시나 간조가 아닐까 걱정했지만 다행히도 만조라 시원한 바다를 볼 수 있었다. 커피를 사들고 휴게소 내 마련된 공원에 돗자리를 펴놓고 편하게 쉬다가 왔다. 나무 그늘 아래 앉아있으니 풀냄새와 시원한 바람, 가끔씩 들려오는 파도 소리를 들으니 천국이 따로 없었다. 그리고 오랜만에 야외에서 아기들이 뛰어노는 소리와 모습을 볼 수 있어 또 좋았다. 공원 산책부터 가볍게 낚시와 차크닉을 즐기기에 좋은 장소인 것 같다.

휴대폰에 업데이트 알람이 떠서 확인해보니 보안 대응 업데이트 였다. 조금 찾아봤더니 작년 iOS16 공개와 함께 처음 선보였다고 한다. 정규 업데이트와는 별개로, 장치와 소프트웨어의 보안 문제를 개선 또는 수정하는 내용을 담고 있다고 한다. 그래서 그런지 업데이트 크기가 약 100MB 였고, 순식간에 완료가 되었다.

사파리 웹 브라우저와 Webkit 프레임 워크 스택 또는 기타 중요한 시스템 라이브러리에 대한 개선 사항이 업데이트되는 것이라고 한다. 또한 악용되었거나 존재한다고 보고된 문제 등 일부 보안 문제를 더 빠르게 완화하는 데에도 사용할 수 있다고 한다.

설정 > 소프트웨어 업데이트 > 자동 업데이트 > 보안 대응 및 시스템 파일에서 비활성화할 수 있다. 하지만, 보안과 개인정보를 안전하게 유지하기 위해서는 해당 기능을 활성화하고, 주기적으로 업데이트를 확인하고 적용하는 것이 필요할 것 같다. 또한, 취지에서도 알 수 있듯이 소프트웨어 업데이트 사이에 중요한 보안 개선 사항을 설치하는 기능인만큼 활성화해 두는 것이 좋을 것 같다.

지난달 14일, 22일에 한국인터넷진흥원 침해센터에 문의한 내용에대한 답변을 받았다. 결론부터 말하면 해당 사안의 경우 개인정보호법 제29조 안전조치의무를 위반하는 행위에 속한다는 것이다. 처음 문의를 할 때, 문의 내용과 관련된 사례를 찾아보았고, 이미 문의 내용이 개인정보보호법을 위반한 것이라고 생각했다.

개인정보보호법에서는 제29조 안전조치의무 위반에 대한 벌금과 과태료를 규정하고 있다.

제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자

제75조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
6. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

개인정보보호법에서는 법 위반에 따른 제재 또는 처벌로 벌금, 과징금, 과태료를 규정하고 있으며, 각각의 특징을 정리하면 다음과 같다. 벌금의 경우 전과기록이 남고, 과태료와 과징금의 경우 의무위반에 따른 금전적인 벌이기 때문에, 처벌의 무게는 벌금 > 과태료 = 과징금인것 같다.

① 벌금

- 과태료, 과징금에 비해 가장 강력한 재산형

- 법을 어긴 경우 적용되는 형벌이며, 형벌 중 금전적인 벌에 해당

- 형사처분이므로 벌금형을 받을 경우 전과기록이 남음

② 과태료

- 행정법상 의무위반에 대한 제재로 부과되는 금전적인 벌

- 이익 여부와 상관없이 행정상 질서를 유지하기 위해 내리는 징계

- 행정처분이므로 전과기록이 남지 않음

③ 과징금

- 행정법상 의무위반에 대한 제재로 부과되는 금전적인 벌

- 주로 불법으로 얻은 경제적 이익을 환수하기 위해 처분

- 행정 제재와 부당 이득 환수라는 두 가지 성격을 가짐

만약 해당 사안을 개인정보 유출로 신고한다면 어떠한 제재나 처벌을 받을지 고민해 보았다. 구체적으로 "A를 위반하면 B에 처한다"로 규정하지 않고 여러 조항에 걸쳐 "A를 위반하면 B, C에 처한다" 처럼 규정하고 있다. 따라서, 위반행위의 종류, 내용, 경위, 지속기간, 빈도, 주체, 피해자, 해당 기관의 개인정보 보호 관리체계 및 조치 등을 종합적으로 고려하여 경중을 따져 벌금, 과태료, 과징금 중에서 가장 합당한 처벌을 부과하는 것 같다고 생각한다.

개인정보보호법에서는 정보주체에게 동의를 받을 경우 필수정보와 선택정보를 구분하여 동의를 받게 규정하고 있다.

제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.

그런데, 회원가입을 진행하다 보면 "위 약관에 전체 동의합니다." 등의 문구와 체크박스가 있고 체크박스를 클릭하면 필수 항목과 선택항목이 한 번에 체크되는 것을 볼 수 있었다. 이 경우에는 앞서 말한 개인정보보호법 제22조를 위반하는 것이 아닌가 생각했다.

관련해서 찾아보았더니, 개인정보보호위원회의 "알기쉬운 개인정보 처리 동의 안내서(2022.3.)(수정).pdf"에서는 필수항목과 선택항목을 구분하여 각각의 동의를 받아야 한다고 나와있다. 그리고 선택동의 항목은 "개별적 동의"를 받도록 구성한다고 나와있다. 그렇다면 회원가입 과정의 "전체 동의" 또는 "일괄 동의"의 경우 개인정보보호법 제22조를 위반이라는 생각이 더욱 강해졌다.

조금 더 찾아보니 개인정보보호위원회의 "8. (개정) 온라인 개인정보 처리 가이드라인(2020.12월) 182.pdf"를 찾을 수 있었다. 여기에서는 필수 동의사항에 대해서만 일괄동의 기능을 적용할 수 있다고 나와있다.

두 가지 문서를 확인하고 생각을 정리한 결과, 사용자의 편의성을 위해 각각의 항목에 개별적인 동의 항목이 있는 경우에 한하여 일괄 동의 기능을 적용할 수 있다고 정리했다(정확한지 확실하지 않은 뇌피셜).

혹시나 해서 휴대폰에 앱을 설치해 확인해 보았다. 좌측 A 앱에서는 각각의 동의 항목에 개별 체크 기능이 있으며, 상단에 전체 동의 기능이 있다. 반면에 우측 B 앱에서는 동의하고 시작이라는 기능만 있을 뿐 약관을 확인하거나 선택할 수 있는 기능은 없었다.

두 번째 새로 알게 된 사실은 개인정보보호법 시행규칙이 20.08.05부터 폐지되었다. 폐지 사유는 개인정보보호법에서 행정안전부령으로 정하도록 하던 사항을 개인정보보호위원회가 정하여 고시하도록 개인정보보호법이 개정되었기 때문에 이를 반영하기 위함이다. 이는 법제처의 "개인정보 보호법 시행규칙 폐지(안) 입법예고"에서 확인할 수 있다.

세 번째 새로 알게 된 사실은 여러 법에서 "법률"과 "법령"이라는 단어를 볼 수 있었다. 두 단어에 대해 찾아보니 "법률"은 국회의 입법 절차를 거쳐 제정된 법, "법령"은 법률과 시행령, 시행규칙을 합쳐서 이르는 말이며, 법령을 더 큰 개념으로 이해했다. 그렇다면 "법률에 특별한 규정이 있는 경우" 또는 "법령상 의무를 준수하기 위한 경우"처럼 구분하지 않고 "법령상 규정이 있거나 의무를 준수하기 위한 경우"처럼 하나로 표현하면 되지않을까 생각했다. 

헌법에서 국민의 자유와 권리뿐만 아니라 통상적인 대부분의 경우 법령에 의거해 제한한다고 나와있다. 그렇다는 것은 "법령"으로 통일해 표시하는 것은 시행령, 시행규칙으로도 국민의 권리를 제한할 수 있다고 보일 수 있으며, 이는 오히려 국민의 권리를 침해하는 행위로 볼 수 있을 것이다. 법률을 시행하기 위해 위임하거나 세부적인 사항을 정의한 것이 시행령과 시행규칙인 것을 생각해 보면 당연하고 간단했던 것 같다.

대한민국헌법 제37조
①국민의 자유와 권리는 헌법에 열거되지 아니한 이유로 경시되지 아니한다.
②국민의 모든 자유와 권리는 국가안전보장ㆍ질서유지 또는 공공복리를 위하여 필요한 경우에 한하여 법률로써 제한할 수 있으며, 제한하는 경우에도 자유와 권리의 본질적인 내용을 침해할 수 없다.

23.04.14 한국인터넷진흥원 침해센터에 이메일 내 개인정보(본인을 제외한 다른 사용자 29명의 이메일 주소)와 관련한 유출 문의에대한 답변이 왔다. 답변을 다음과 같이 요약할 수 있었다.

① 개인정보의 유출이란 『표준 개인정보 보호지침』 제25조에 의거, 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 권한이 없는 자에게 개인정보가 전달되는 것을 말함. 즉 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것

② 본 사안과 같이 정보주체의 정보에 대하여 권한이 없는 자에게 전달되었거나 접근을 허용하였다면 위 내용에 따라 개인정보 유출로 볼 소지가 있음

③ 관련하여 『개인정보 보호법』 제29조 및 동법 시행령 제30조에서는 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하도록 규정

④ 피신고업체가 상기 법률에 따른 안전성 확보에 필요한 조치의무를 하지 아니하였다면 동법 제75조제2항 제6호에 따라 법 위반의 소지가 있음

해당 기관의 홈페이지 개인정보 처리방침을 확인해보니 "개인정보의 안전성 확보조치에 관한 사항"이 있었고, 내용은 개인정보 취급 직원의 최소화 및 교육, 비인가자에 대한 출입 통제 등이 있었다. 이에 따라, 기존 문의 사항이 개인정보 유출에 해당하는지 검토를 요청하였다.

그리고, 공부하면서 혼동이 생겼던 부분에 대해서도 문의를 진행하였다.