- 뉴스레터 발송용으로 활용하는 외부 마케팅 솔루션이 해킹되어 외교부 사칭 스팸 메일이 발송 > 유포된 메일에 대한 기술적 분석 결과 악성 기능이 없는 것으로 파악
- 사용자 이름, 이메일 주소, 암호화된 비밀번호 등과 일부 고객 신용정보 유출 > 결제 오류 로그에 민감한 신용정보가 함께 저장 (서버 해킹으로 내부 로그가 함께 유출) > 일부 회원 계정이 외부 공격자에 의해 로그인된 정황 발견 (비밀번호는 단방향 암호화되어 있어 유출 가능성 낮음)
※ 로그 관리 방식의 미비 : 로그 접근 권한의 제한 부족과 장기간 로그 보관이 보안상 취약 요소로 작용
- 사후 보안 강화 대책 > 취약점 보완 및 시스템 내 모든 개인정보 완전 암호화 > 로그인 시 2단계 인증 도입 및 이상 로그인 감지 시스템 강화 > 해외 IP 차단 및 로그 보관 정책 재정비 > 금융기관과 협력해 이상 금융 거래 감시 및 실시간 모니터링 강화 > 보안 조직 확대 및 보안 전문가 영입 > 개인정보 수집 및 보관 정책 변경 (불필요 정보 즉시 파기, 최소한 정보 저장)
2. KERIS 개인정보 유출
- AI디지털교과서 수업설계안 개발 과정에 참여한 교원들의 개인정보가 유출 > 개발에 참여 중인 선생님들이 상호 피드백 그룹 정보 조회를 위한 엑셀파일을 구글 드라이브에 탑재 > 엑셀파일은 개인정보 보호를 위해 암호 설정 및 선생님들은 수신 문자의 그룹 코드를 입력해 본인의 피드백 그룹 정보만 확인하도록 설계 > 구글 드라이브에서 구글 스프레드 시트를 통해 열람 또는 다운로드할 경우 암호 설정이 해제되는 현상이 발생하여 개인정보 유출
- 개발에 참여 중인 선생님 957명의 이름, 소속학교, 지역(시, 도), 휴대전화번호, 이메일 유출 > 구글 드라이브에서 엑셀 파일 삭제 및 선생님들에게 파일 삭제 요청 안내
- 휴먼 에러 가능성 > 암호화 엑셀 파일을 구글 드라이브에 올린 후 구글 스프레드 시트로 열람할 경우 비밀번호 입력 기능이 유지됨 > 구글 스프레드시트에서 직접 파일을 작성하고 특정 사용자에게 링크 공유와 잠김 기능을 사용한 경우 설정 오류일 것 > 또는 엑셀 파일 자체에 비밀번호 설정을 잘못했을 가능성 > 내부 개인정보 문서를 외부 시스템을 통해 공유하는 방법 자체의 잘못
3. 한예종 재학생·졸업생 개인정보 유출
- 해킹 공격으로 누리 시스템에 있는 재학생·졸업생 1만 8,000여명의 개인정보 유출 > 유출 항목 : 학번, 한글·한문·영문성명, 생년월일, 성별, 학적상태, 학년, 과정, 소속, 학과, 전공, 입학일, 수험번호, 일반휴학학기, 휴대전화번호, 자택전화번호, 주소, 예금주, 은행명, 계좌번호, 이메일 등 > 유출 의심 항목 : 보호자 정보, 장학금, 등록금, 성적
4. 한국정보보호산업협회 개인정보 유출
- 뉴스레터를 발송하는 과정에서 수신인 메일 주소 10,592건이 삽입되어 발송 > 뉴스레터 구독자들에게 메일 삭제 요청 > 악용 의심 사례는 발생하지 않음
- 대응 > 메일 전송 서버 강제 중단 > 메일 송부 프로그램 교체 및 발송 확인 절차 강화
5. GS리테일 개인정보 유출
- 크리덴셜 스터핑 공격을 받아 개인정보 유출 > 유출 항목 : 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일
- 공격 IP 및 공격 패턴 차단, 계정 잠금 처리, 개인정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄 조치 > 2차 피해 방지를 위해 비밀번호 변경 권고
카카오페이 계정 ID, 휴대폰 번호, 이메일, 가입 내여, 거래 내역(잔고, 충전, 출금, 결제 금액 등) ※ 기타 내용 참고
특징
제휴 업무 처리 간 불필요 정보 및 고객 동의 없이 제공
피해크기
- 18.04부터 현재까지 매일 1회, 총 542여건 (누적 4,045만명) - 19.11부터 현재까지 해외결제 이용시마다 총 5.5억건
침해 사고 분석
경위
- 금감원, 24.05~07까지 카카오페이 해외결제부문에 대한 현장 검사 실시 결과 발표 > 카카오페이가 고객의 동의 없이 알리페이에게 고객의 신용정보를 제공한 사실 확인 > 카카오페이가 애플 앱스토어에 결제 서비스를 제공하기 위해 이루어진 것 > 애플이 요구한 데이터를 재가공하는 과정에서 알리페이 계열사에 업무를 맡기면서 발생한 것으 로 보임 > 고객이 해외 결제를 이용하지 않았음에도 불구하고, 카카오페이에 가입한 전체 고객의 개인신상 이 제공 > 해외결제를 위해 고객 신용정보 제공이 필요하지 않음에도 불구하고 결제 내역 및 내용이 제공
- 카카오페이의 반박 > 알리페이의 NSF 스코어 산출을 명목으로 카카오페이 전체 고객의 신용정보 요청에 따른 정보 제공 > 본건 관련 정보제공이 사용자의 동의가 필요없는 업무 위수탁 관계에 따른 신용정보의 처리에 해당 > 철저한 암호화를 통해 전달되어 원본 데이터 유추할 수 없음 > 따라서, 고객 동의 없이 불법으로 정보를 제공한 사실이 없다는 입장
- 금감원의 재반박 ① 신용정보의 처리 위탁 해당 여부 > 카카오페이-알리페이간 계약서 확인 결과 NSF 스코어 산출·제공업무를 위탁하는 내용은 전혀 존재하지 않음 > 카카오페이 회원가입시 징구하는 약관 및 해외결제시 징구하는 동의서 확인 결과 NSF스코어와 관련한 고객정보 제공을 유추할 수 있는 내용이 존재하지 않음 > 카카오페이가 공시한 개인신용정보 처리업무 위탁 사항에도 NSF 스코어 산출·제공업무는 포함되지 않음 > 대법원 판례 등에 의거 신용정보의 처리 위탁이 되기 위한 조건에 해당하지 않음 > 금융회사의 정보처리 업무 위탁에 관한 규정 제7조에 의거, 정보처리 업무 위수탁시 금감원에 사전 보고해야 함에도 보고하지 않음
② 원본 데이터 유추 가능 여부 > 카카오페이는 공개된 암호화 프로그램 중 가장 일반적인 SHA256 사용 및 함수에 랜덤값을 추가하지 않았고, 해시처리 함수를 지금까지 변경한 사례 없음 > 원본 데이터 유추가 가능 > 알리페이가 카카오페이에 개인신용정보를 요청한 이유는 애플 ID에 매칭하기 위함으로, 매칭을 위해서는 제공받은 개인식별정보를 복호화해야하기 때문에 주장과 모순
원인
- 카카오페이-알리페이간 제휴 업무 처리간 불필요 및 동의 없이 정보 제공 > 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스 제공
조치
- 금감원은 향우 면밀한 법률검토를 거쳐 신속한 제재절차와 유사사례에 대한 점검을 실시할 계획 > 금감원은 그동안 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄청하게 처리 > 앞으로도 유사사례 재발 방지를 위해 노력할 것
기타
- 카카오페이가 중국 알리페이에 제공한 개인신용정보 종류 ① 고객식별정보 > 해시처리한 카카오계정 ID·핸드폰 번호·이메일 > 해시처리하지 않은 핸드폰 본인인증시 생성번호(Device ID)
② 가입고객정보 > 카카오페이 가입일 > 카카오페이 머니 > 가입일 > 고객확인(KYC) 실시 여부 > 휴면계정 여부
③ 페이머니 거래내역 > 페이머니 잔고 > 최근 7일간 페이머니 충전횟수 > 최근 7일간 페이머니 출금 횟수 > 최근 7일간 페이머니 결제여부 > 최근 1일 페이머니 결제 여부 > 최근 1일 페이머니 결제 금액 > 당일송금서비스 사용 여부 > 최근 7일간 송금서비스 사용 건수
④ 등록카드 거래내역 > 카드등록 여부 > 등록카드 개수 > 최근 7일간 등록카드직불 건수 > 최근 7일간 카카오페이 결제거래 건수 및 결제 가맹점수
- NSF(Non-Sufficient-Funds Score): 애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수
- 온라인 강의 플랫폼 클래스유, 개인정보 유출 > 암호화 등 보안조치 미흡으로 100만명의 회원정보가 해킹포럼에 유출 > 유출된 개인정보는 닉네임, 이름, 전화번호, 이메일(일부 암호화)이며, 금융정보는 포함되지 않은 것으로 확인 > 앞으로는 회원들의 정보를 모두 암호화하여 보관할 예정
- 전북대 통합정보시스템 해킹으로 32만여명의 개인정보 유출 > 재학생, 졸업생, 평생교육원 회원 등 총 32만명 이상의 개인정보 유출 > 이름, 주민등록번호, 전화번호, 이메일, 학사정보 등을 포함해 재학생·졸업생은 74개 항목, 평생교육원 회원은 29개 항목이 유출 > 인지 직후 공격 IP, 불법 접속 경로 차단 및 취약점 보완 조치와 철저한 재발방지 대책 마련 약속
- 공군 창의·혁신 아이디어 공모 해커톤 참가자 개인정보 유출 > 공군에서 운용 중인 인터넷 공군 해커톤 평가체계 홈페이지에서 관리되고 있는 고객 약 450명의 개인정보가 유출 > 유출된 정보는 2022년 수상자 명단, 2024년 접수현황 파일로, 해당 파일에 신분, 이름, 생년월일, 소속, 전화번호, 메일주소가 포함 > 유출 사실 인지 후 추가 피해 방지 및 예방 조치 완료
- 선문대학교, 위탁업체 실수로 학생 개인정보 유출 > 일부 홈페이지의 개발·운영을 위탁한 외부 업체가 시스템 업데이트 과정에서 학생 개인정보 유출 > 시스템 업데이트 과정에서 기술적 문제로인해 로그인 없이 재학생 정보를 검색할 수 있었음 > 9700여명의 이름 일부와 학년, 학과, 전화번호 유출 > 피해 학생에게 사실 안내와 개보위 신고 및 긴급회의 진행(사건 발생 경위, 데이터 관리 차원에서 기술적 오류 여부, 사후 관리 계획 등)
2. 해외
- 아틀라시안의 작업 관리도구 트렐로에서 약 1,500만명의 사용자 개인정보 유출 > API 취약점을 악용한 해커의 공격으로 발생 > 공개된 API 앤드포인트 악용->이메일 주소 목록 활용->데이터 조합->데이터 유출 및 판매 단계를 걸쳐 진행
> 아틀라시안은 이메일 주소를 기반으로 다른 사용자들의 공개 정보를 요청하는 비인가 사용자들의 접근 차단 조치 및 API 사용을 지속 모니터링해 필요한 조치를 취할 것이라 발표
구분
설명
공개된 API 앤드포인트 악용
- 트렐로는 REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 서비스 제공 - API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계 - 누구든지 API를 호출해 공개된 정보를 검색할 수 있음
이메일 주소 목록 활용
- 해커는 다양한 소스에서 수집한 5억개의 이메일 목록을 준비 - 해당 이메일 주소를 API에 입력해 이메일이 트렐로 계정과 연결돼 있는지 확인 - API 호출 결과 각 메일 주소와 연결된 계정 정보가 반환
데이터 조합
- API 호출을 통해 반환된 데이터에는 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보가 포함 - 해당 정보를 수집 및 각 이메일 주소와 조합해 1,500만개 이상의 사용자 프로필 생성
데이터 유출 및 판매 단계
생성된 사용자 프로필 정보를 다크웹에 게시
- 사상 최대 규모의 개인정보 유출 사건 발생 > 미국 거주자의 민감한 개인정보 담긴 약 27억 건의 데이터가 암호화되지 않은채 해킹 포럼에 유출 > 개인정보를 수집·판매하는 업체인 National Public Data에서 발생 > 유출된 정보는 이름, SSN(사회보장번호), 주소지, 일부 별칭 정보가 담긴 두 개의 텍스트 파일로, 총 277GB > 유출된 데이터 중 많은 데이터가 오래된 백업에서 가져온 것으로 보임 > 피해 최소화를 위해 신용 보고서 모니터링, 신용 동결 고려 등 즉각 조치를 권고
- 텐센트 사용자 14억 명의 개인정보 유출 > 텐센트 고객 14억 명의 이메일, 전화번호, QQ용 ID 등 유출 > 정보의 출처는 확인되지 않으나, 24년 1월 MOAB(Mother of All Breaches)일 것으로 판단 > MOAB는 4000건이 넘는 침해 사고에서부터 수집된 데이터를 저장한 DB로, 약 260억 건의 기록을 포함 > MOAB에 15억 건의 텐센트 계정이 포함되어 있던것이 확인된바 있음
3. 공통
- IP 카메라 해킹으로 사생활 영상 180건 유출 > 2017년부터 최근까지 촬영된 것으로 보이는 IP 카메라 영상 약 180건 확인 > 유출 영상은 하나당 10~15달러에 거래되나, 피해자는 영상 유출 사실조차 인지하지 못하는 상황 > 제품을 사용하지 않을 경우 전원을 꺼두거나 렌즈 가리기, 펌웨어 최신 업데이트 등 보안 조치 필요
- 북한 해킹조직이 국민 다수가 사용하는 앱 변조, 유포 정황을 국정원이 포착 - 국정원은 구글플레이 등 공식 앱스토어 이용, 백신 업데이트 등 점검 당부
내용
- 국정원, 북한의 전자상거래 앱 변조 및 유포 정황 포착 > 대상 앱은 국민 2,000만명 이상 사용 중인 전자상거래 앱 > 정상 앱과 아이콘, 기능이 동일하며, 크기가 유사함 > 아이콘만으로는 정상 앱과 구분하기 힘듦 > 감염시 기기 내 저장되어있는 모든 개인정보가 탈취될 수 있음
- 국정원은 변조 앱 확산을 막기 위해 국내·외 보안업체에 즉각 공유 > 보안업체들은 백신 업데이트 등 보안 조치 수행
- 국정원 권고 > 북한의 국민 대상 해킹수법이 정교화·다양화 > 공식 앱스토 등 정상적인 경로를 통해 앱 설치 > 출처가 불분명한 이메일 또는 문자에 첨부된 링크 유의 > 주기적인 백신 앱 업데이트 등 스마트폰 보안 강화
기타
- 친하마스 해킹조직이 이스라엘 국민을 대상으로 앱 변조·유포해 개인정보 탈취 시도 > 대상 앱은 이스라엘 국민들이 사용하는 미사일 공습경보 앱
① 브로커 B씨는 해커 A씨에게 해킹 및 개인정보 탈취 의뢰 > A씨는 컴퓨터 프로그램 관련 외주업체를 운영
② A씨는 자체 제작한 해킹 프로그램을 이용해 9개 사이트 해킹 및 개인정보 유출 > 증권사, 대부중개 플랫폼, 주식교육방송, 가상화폐사이트 등 9개 > 유출한 개인정보를 B씨에게 제공
③ J씨는 A씨에게 가상화폐 사이트 해킹 의뢰 및 개인정보 구매
④ 해커 A씨는 K씨, L씨에게 개인정보 구매
⑤ 대부업자 H씨, I씨는 B씨에게 해킹 및 개인정보 구매 의뢰
⑥ B씨는 H씨, I씨에게 개인정보 판매 > 대부업자들은 텔레그램을 통해 대출 신청자 정보를 실시간 판매해 부당이득 편취 (1개당 600~3,000원 판매, 약 3,000만원)
⑦ 비상장주식 판매 사기를 위해 C씨, D씨는 B씨에게 해킹 및 개인정보 구매 의뢰
⑧ B씨는 C씨, D씨에게 개인정보 판매 > 비상장주식 판매 조직원 E씨, F씨, G씨에게 개인정보 전달 > 투자 자문회사를 사칭하며 전화나 문자로 비상장 주식을 판매해 부당이득 편취 (피해자 36명, 약 6억원)
⑨ 해커, 해킹 의뢰자, 사기조직, 개인정보 유통업자 등 12명 검거, 4명 구속
원인
① 웹사이트의 보안 취약점 및 개인정보 관리의 문제점 악용
조치
① 경찰 > 대부중개 플랫폼 업체의 개인정보가 유출됐다는 첩보를 입수해 수사 시작 > 원격 접속 IP 다수 확보, 서버 및 자료 비교분석으로 해커를 특정 > 압수수색으로 A씨가 제작한 해킹 프로그램 및 탈취한 개인정보 파일, 대포폰 26대, 노트북 8대, 현금 2,166만원 등을 현장에서 압수 > 전자정보 분석으로 개인정보가 탈취된 업체와 공범을 특정해 이들이 벌어들인 범죄수익에 대한 1억원을 추징보전 신청 > 최신 해킹 기술에 대응하는 사이버수사 역량을 강화할 것 > 한국인터넷진흥원(KISA) 등 유관기관과 협업을 통해 피해 예방 및 불법행위 엄중 처벌 예정 > 수사 과정에서 확인된 문제점 등을 해당 업체에 통보
기타
① 적용 법률 >개인정보 보호법 제70조 제2호 2. 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자
> 개인정보 보호법제71조 제2호 2. 제18조제1항ㆍ제2항, 제27조제3항 또는 제28조의2(제26조제8항에 따라 준용되는 경우를 포함한다), 제19조 또는 제26조제5항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제71조 제1항 제9호·제11호 ①다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 9. 제48조 제1항을 위반하여 정보통신망에 침입한 자 10. 제48조 제3항을 위반하여 정보통신망에 장애가 발생하게 한 자 11. 제49조를 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설한 자
> 형법 제347조 제1항(사기) 사람을 기망하여 재물의 교부를 받거나 재산상의 이익을 취득한 자는 10년이하의 징역 또는 2천만원이하의 벌금에 처한다.
② 개인정보를 관리하는 업체에서는 보안이 취약한 사이트는 언제든지 범행 대상이 될 수 있음 > 웹 방화벽 활용, 취약점 점검, 최신 업데이트, 불필요한 개인정보는 삭제 등의 조치 필요
- 데일리시큐 "[진단] 국민의힘·더불어민주당·정의당, 입법부 대표 정당들의 개인정보보호 민낯"
> 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
> 이전 개인정보 처리방침 변경 내용 확인 불가
> 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
> 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용
> 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
- 관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인
> 기사에서 언급된 문제점 또는 추가적인 문제점이 있는지를 검토
2. 주요내용
- 모공제조합 개인정보 처리방침의 내용에서 문제점으로 판단되는 총 5가지 항목 확인
- 국민신문고를 통해 개인정보보호위원회에 문의 진행
2.1 가시성 문제
- 개인정보 처리방침의 조항별 글씨 크기 및 글씨체의 차이를 보여 가시성이 떨어짐
[사진 1] 글씨 크기 차이 문제점
- 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과
> 제4항에 따라 보호위원회는 「개인정보 처리방침 작성지침」을 제공
「개인정보 보호법」 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. ④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
개인정보 처리방침 작성지침
개인정보처리자는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하여 작성해야 하며, 개인정보 처리 현황을 투명하고 구체적으로 수립 및 공개하여야 함
개인정보 처리방침은 누구나 이해하기 쉬운 명확하고 평이한 언어로 안내하여야 하며, 특히 해외사업자의 경우 국내이용자가 이해할 수 있는 쉽고 명확한 한글로 정보를 제공하여야 함
- 이에 따른 답변은 다음과 같음
① 「개인정보 보호법」 제30조 제4항에따라 보호위원회는 「개인정보 처리방침 작성지침」을 정하여 그 준수를 권장할 수 있음
② 즉, 권장 사항이므로 권장 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않음
③ 단, 법에 따른 필수 작성항목을 법령에 따라 적정하게 작성하고 있어야함
- 개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 작성하여 문서화한것을 말함
> 「개인정보 보호법」 제30조 제2항에따라 정보주체가 확인하기 쉽게 공개할 것을 의무화
> 또한, 개인정보 처리방침의 목적은 개인정보 처리의 투명성을 높이고, 정보주체에게 자신의 개인정보가 어떻게 처리되고 있는지 처리방침을 통해 상시적으로 확인 및 비교하도록 하여 개인정보 자기결정권을 보장하기 위함이라고 생각함
- 해당 목적을 달성하기 위해서는 개인정보처리자가 정보주체로 하여금 이해하기 쉽도록 작성하는것을 보장하도록 할 필요가 있음
> 법에서 명시한 내용을 문서에 모두 포함하였다고 하여도, 내용 작성 방식의 문제로 인해 정보주체가 쉽게 확인 및 이해하지 못하는 문제가 충분히 발생할 수 있을 것으로 생각되기 때문
2.2 열람요구서, 위임장 등 다운로드 기능 부재
- 데일리시큐의 기사에서는 열람요구서, 위임장 등을 다운로드할 수 있는 기능이 없음을 문제점으로 지적
> 확인 결과 일부 사이트의 경우 다운로가 아닌 해당 파일이 위치한 경로 또는 법 별지 서식 이용 안내
- 공제조합 또한 별지 서식이용을 안내하고 있음
> 따라서, 단순히 다운로드 기능이 없다고 해서 문제점으로 지적하는 것은 합당하지 않다고 판단하여 문의 진행
- 이에 따른 답변은 다음과 같음
> 열람요구서 및 위임장 다운로드 기능과 관련하여, 개인정보 처리방침에 포함하는 것을 의무화하지 않음
> 개인정보 처리자의 자율에 맡겨진 사항
- 정보주체는 개인정보처리자가 처리하는 자신의 개인정보를 열람한 후 정정 또는 삭제를 요구할 수 있음
> 해당 과정을 처리하는 방식이 업종별로 상이할 수 있겠지만, 정보주체의 권리를 보장하기 위해 통일된 방식을 사용하는 것이 좋을것 같음
2.3 개인정보보호법 시행규칙 단어 사용
- 개인정보보호법에서 행안부령(행정안전부)으로 정하던 사항을 개인정보보회위원회가 정하여 고시하도록 개인정보보호법이 개정됨
> 따라서, "개인정보보호법 시행규칙" 단어를 삭제하거나 다른 단어로 정정되어야 할 것임
- 공제조합은 개인정보보호법 시행규칙을 아직 사용하는 것으로 확인
[사진 2] 개인정보보호법 시행규칙 사용
- 이에 따른 답변은 다음과 같음
> 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경
> 용어의 변경이 필요함
- 관련 내용은 23.09.15부터 시행되는 개인정보보호법에 의거 개선될 것으로 기대됨
제30조의2(개인정보 처리방침의 평가 및 개선권고)
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다. 1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부 2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부 3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 ② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2023. 3. 14.] [시행일: 2023. 9. 15.] 제30조의2
2.4 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집
- 「개인정보 보호법」 제3조 제1항에서 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집하도록 지정
> 작성지침에서는 수집목적에 필요한 최소한의 정보(필수항목)와 그 외의 정보(선택항목)을 구분하여 기재 안내
* 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/수집항목을 구분하지 않아도 됨
- 공제조합의 경우 필수와 선택항목의 구분이 없으며 원적, 본적, 종교 등 불필요한 정보를 수집하는 것으로 판단
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
2.5 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항
-「개인정보 보호법」 제30조 제1항 제7호에서개인정보 자동 수집 장치의 설치, 운영 및 근거에 관한 사항을 포함하도록 지정
> 작성지침에서는 쿠키와 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우, 설치 및 운영, 그 거부에 관한 사항을 기재하여야 함
[사진 3] 작성지침에 따른 작성 예시
- 공제조합의 경우 관련되 내용을 "생성정보 수집 툴을 통한 수집"으로 안내
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
[사진 4] 공제조합의 안내
3. 문의 및 답변 전문
문의
답변
안녕하세요.
데일리시큐를통해 국내 입법부 대표 정당의 개인정보 처리방침 관련 문제점을 확인하였습니다.
관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인하여 기사에서 언급한 문제점과 기타 문제점이 있는지 찾아보았습니다.
모공제조합 개인정보 처리방침을 보던 중 궁금한 사항이 있어 문의 드립니다.
① 가시성 문제 개인정보 처리방침 작성 가이드라인에 따르면 정보주체가 쉽게 확인할 수 있도록 작성해야 하는 것으로 확인됩니다.
하지만, 조합의 개인정보 처리방침을 확인해보니 각 조항의 글씨 크기 및 글씨체가 큰 차이를 보이고 있어 가시성이 확보되지 않는 것으로 판단되어 문의 드립니다.
② 열람요구서, 위임장 등 다운로드 기능 부재 데일리시큐에서 확인한 기사에 따르면 열람요구서와 위임장 등을 다운로드 할 수 있는 기능이 없는 점을 문제점으로 꼽았습니다.
하지만, 일부 사이트의 경우 다운로드가 아닌 해당 파일이 위치한 경로나 개인정보보호법 시행령의 별지 서식을 사용하는 것을 안내하고 있었습니다.
조합의 경우에도 시행령 별지 서식 이용을 안내하고 있습니다.
그렇다면, 기사에서 언급한 다운로드 기능 부재의 경우는 문제점으로 선정할 수 없을것이라고 생각되어 문의 드립니다.
③ 개인정보보호법 시행규칙 단어 사용 개인정보보호법에서 행안부령으로 정하던 사항을 개인정보보호위원회가 정하여 고시하도록 변경됨에 따라 20.08.05부터 개인정보보호법 시행규칙이 전부 폐지된 것으로 알고있습니다.
조합의 경우 "개인정보 보호법 시행규칙" 또는 "개인정보보호법시행규칙" 단어를 사용하고 있는 것으로 확인되어 문의 드립니다.
④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집 개인정보 처리방침 작성 가이드라인에서는 필요한 최소한의 항목(필수항목)과 그 외 정보(선택항목)을 구분하여 기재하며, 필수항목만을 수집하는 경우에는 구분하지 않아도 된다고 안내하고 있습니다.
조합의 경우 필수 및 선택 구분을 두지않고 있으며, 수집하는 개인정보 또한 원적, 본적, 해외여행, 종교 등 불필요한 정보를 수집하고 있는것으로 판단되어 문의 드립니다.
⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항 개인정보 처리방침 작성 가이드라인에서는 쿠키 등과 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우 설치ㆍ운영 및 거부에 관한 사항을 공개하도록 되어있습니다.
조합의 경우 수집방법의 하나로 생성정보 수집 툴을 통한 수집으로만 안내를 하고있어 관련 정보가 부족하다고 판단되어 문의 드립니다.
1. 안녕하십니까? 귀하께서 국민신문고를 통해 신청하신 민원(신청번호 -)에 대한 검토 결과를 다음과 같이 알려드립니다.
2. 귀하께서는 개인정보 처리방침과 관련한 것으로 이해됩니다.
3. 귀하의 질의사항에 대해 검토한 의견은 다음과 같습니다.
가. 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과하고 있으며, 보호위원회는 개인정보의 처리방침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있습니다. 이에 「개인정보 처리방침 작성지침」은 권장 사항이며 법에서 정하고 있는 개인정보 처리방침 필수 작성항목을 법령에 따라 적정하게 작성하고 있다면 처리방침 작성지침에서 권장하는 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않습니다.
나. 개인정보 처리방침의 가시성과 관련해서 표준지침에 따르면 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하도록 하고 있습니다.
다. 열람요구서 및 위임장 다운로드 기능과 관련해서 개인정보 처리방침 작성지침이나 표준지침에서는 이 같은 기능을 추가할 것을 의무화하고 있지 않으며 개인정보처리자의 자율에 맡겨진 사항임을 알려드립니다.
라. 개인정보 보호법 시행규칙 단어 사용과 관련해서, 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경되었으므로 용어의 변경이 필요함을 안내드립니다.
마. 개인정보 수집 관련 필수, 선택항목 구분, 불필요한 정보인지 여부 및 개인정보 자동수집장치와 관련된 방식의 적합성 여부 등과 관련해서는 구체적 사실확인이 필요한 사안으로 일률적으로 답변드리기 어려운 점 양해 바랍니다.
4. 귀하의 질문에 만족스러운 답변이 되었기를 바라며, 답변 내용에 대한 추가 설명이 필요한 경우 -에게 연락주시면 친절히 안내해 드리도록 하겠습니다. 감사합니다. 끝.
- 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계 - 기업이 고객의 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 일련의 조치 - 기업이 정보주체의 개인정보를 안전하게 보호할 수 있도록 기술적ㆍ관리적ㆍ물리적ㆍ조직적인 다양한 보호대책을 구현하고 지속적으로 관리ㆍ운영하는 종합적인 체계
등장배경
- 고객 개인정보는 비즈니스 이익 창출의 원동력과 유출사고로 인한 리스크 요소 - 침해시도 행위의 목적은 기존의 실력과시에서 금전적 이익 획득으로 변화하고 있음 - OECD의 개인정보보호 8원칙이 최초 국제규범으로 채택되고 대다수의 국가가 개인정보보호법을 보유 - 전사적 차원의 개인정보보호활동에 대한 기존의 기밀정보 보호중심의 보호체계의 한계 - 개인정보 침해사고로 인한 법률 분쟁시, 개인정보보호 노력에 대한 객관적 증빙 필요
기대효과
외부
- 적절한 법률적 대응 - 대내외 신뢰 증진
내부
- 개인정보 관리수준 제고 및 지속적 유지 - 유출사고로 인한 재산 피해와 사전 보호대책을 위한 지나친 투자비용 남용 방지 - 개인정보보호 관련 기술 및 노하우 축적
구분
개인정보보호 관리체계
수립시 고려사항
- (보호대상) 조직이 보호해야 하는 고객의 개인정보와 그 가치의 근거 - (처리과정) 고객의 개인정보의 수집, 이용, 전달, 저장, 파기 과정 - (보호수준) 고객의 개인정보의 적절한 관리와 보호의 수준 - (보호방안) 고객의 개인정보의 보호를 위한 적절한 방법
위험요소
- (기밀성) 허가되지 않은 사람에 대한 개인정보자산의 노출 여부 - (무결성) 허가되지 않은 사람에 의한 개인정보자산의 변경ㆍ훼손 여부 - (준거성) 관련하여 법률적으로 규정된 사항에 대한 준수 여부
관리절차 (PDCA)
- (계획) 명확한 목표 설정 및 전략 수립 - (실행) 수립된 계획을 실행 - (검토) 수립된 계획대비 실행의 결과를 검토 - (반영) 검토결과를 차기 계획에 반영
2. 국내외 개인정보보호 관리체계
구분
내용
국가
인증명
주간기관
비고
개인정보 보호 마크제도
개인정보보호 관련 일정 요건을 갖춘 사이트 대상 마크 부여
미국
BBBOnline 마크제도
미국 경영개선협회
개인정보방침 심사
일본
프라이버시 마크제도
일본정보처리 개발협회 (JIPDEC)
개인정보보호 체계심사
개인정보보호 관리체계 인증 제도
개인정보를 안전하게 보호할 수 있도록 기술적ㆍ관리적ㆍ물리적ㆍ조직적인 다양한 보호대책을 구현하고 지속적으로 관리ㆍ운영하는 종합적인 체계
한국
ISMS-P (정보보호 및 개인정보보호 관리체계 인증)
과기부, 개보위
정보보호 및 개인정보 보호 관리체계 인증 (적용대상) 개인정보의 흐름과 정보보호 영역 인증
국제표준
ISO 27001
ISO/IEC
경영시스템 중 정보보호관리체계 시스템 심사 및 인증
영국
BS 10012
BSI Group
개인정보경영시스템(PIMS) 심사 및 인증
공공기관의 개인정보 보호 평가제도
공공기관의 개인정보 관리체계 및 유출 예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도
한국
PIA (개인정보 영향평가)
개보위
개인정보 영향평가 (적용대상) 개인정보 파일을 구축ㆍ운영 또는 변경하려는 공공기관
개인정보보호 수준진단
개보위
공공기관 관리수준 진단 (적용대상) 중앙행정기관 및 산하 공공기관, 지방자치단체, 지방공기업
