최근 개인정보 침해유형과 대응방법

“개인정보 수집 목적 달성되면 해당 개인정보는 즉시 파기해야”

[보안뉴스=조 규 민 한국인터넷진흥원 개인정보안전단장] 개인정보보호법은 2011년 9월 30일부터 시행되기 시작하여 올해로 시행 2주년을 맞이하고 있다. 법 시행으로 인하여 제조업, 서비스업, 소상공인 등 모든 개인정보처리자가 법 수범대상이 되었고, 이에 따라서 준수해야 할 법적 의무사항과 각종 조치사항들이 크게 증가한 것이 사실이다.

개인정보를 수집·이용할 경우에는 원칙적으로 정보주체의 동의를 얻거나 법령상 근거가 명확해야 한다. 이에 더하여 주민등록번호 등 고유식별정보나 민감정보를 처리하는 경우도 별도의 처리 요건을 충족해야 한다.

개인정보 수집의 목적이 달성되면 해당 개인정보는 즉시 파기해야 하며, 다른 법령의 근거가 있거나 보관기간을 명확히 하여 동의를 받은 경우에만 보관이 가능하다. 개인정보에 대한 접근통제나 암호화, 보안프로그램 등 안전성 확보를 위한 조치의 중요성은 따로 언급하는 것이 불필요하게 느껴질 만큼 많이 강조됐다.

이에 더하여 CCTV와 같은 영상정보처리기기를 운영하는 경우에도 안내판 설치 등 필요한 법적 조치사항을 이행해야 한다.

이러한 법적 의무 강화에 따라 사업자들과 공공기관들은 너나 할 것 없이 개인정보 보호를 위한 조치 강화에 나서고 있다. 그러나 아직 법 시행 후 2년이 경과하지 않은 시점이어서 새로 제정·시행된 법률에 대한 인식 부족이 일부 존재하고, 또한 규모가 영세한 사업자들은 인력과 예산의 미비 등으로 인해서 어떤 조치사항을 어떻게 해야 할지 몰라 손을 놓고 있는 경우도 많이 보이고 있다.

개인정보보호법에 따라 한국인터넷진흥원이 운영하고 있는 ‘개인정보침해 신고센터’의 민원 현황을 보면, 2012년 한해 동안 개인정보 침해신고 2,058건, 법령 및 기술질의 상담 164,743건 등 전체 개인정보 민원은 무려 166,801건에 달하고 있다.

이는 2011년의 122,215건 대비 약 36%나 증가한 수치이다. 접수 유형을 살펴보면, ‘주민등록번호 등의 타인정보 훼손·침해·도용’ 유형이 가장 많은 비중을 차지하고 있고, 이 외에 ‘개인정보 안전성 확보조치 미비’ 유형, ‘개인정보 목적외 이용 또는 제3자 제공’ 유형 등이 그 뒤를 잇고 있다.

다음에서는 개인정보침해 신고센터에 접수된 사례 중에서 사업자 및 공공기관에서빈번히 발생하고 있는 대표적 침해사례 4가지를 살펴보고 그 대응방법을 모색해 본다.

홈페이지 개인정보 노출사례

안전성 확보조치(법 제29조) 미비로 인한 침해사례는 가장 빈번히 발생하고 있는 침해유형 중의 하나이고, 또 한편으로는 구체적으로 어떻게 조치를 취해야 하는지 문의가 많은 사례이기도 하다.

개인정보보호법은 내부관리계획 수립, 접근통제, 암호화, 접속기록 보관, 보안프로그램, 물리적 조치 등 6가지 조치사항을 규정하고 있는데, 그 중에서도 접근통제 미비로 인한 홈페이지 개인정보 노출 사례가 자주 발생하고 있다. 원래는 공개되어서는 안 되는 개인정보가 홈페이지나 데이터베이스시스템에서 노출된다면, 또다시 명의도용이나 피싱 등과 같은 대량의 2차 피해를 야기할 수 있기 때문에 개인정보를 처리하고 있는 사업자나 공공기관으로서는 홈페이지 개인정보 노출이 발생하지 않도록 각별히 유의할 필요가 있다.

개인정보의 노출원인은 크게 4가지를 들 수 있는데, 첫 번째 관리자 부주의로 인한 정보 게재, 두 번째 고객이나 민원인의 부주의로 인한 스스로의 정보 게재, 세 번째 홈페이지나 데이터베이스시스템의 설계·운영 오류로 인한 노출, 네 번째로 앞서 본 세 가지 원인으로 노출된 개인정보가 검색사이트를 통해 다시 검색되어서 노출되는 경우가 그것이다.

홈페이지 개인정보 노출을 방지하기 위해서는 우선 해당기관의 업무 특성에 맞는 노출방지 대책을 수립할 필요가 있고, 무엇보다도 홈페이지나 데이터베이스 시스템의 설계 및 개발 단계에서부터 보안취약점으로 인한 노출이 발생하지 않도록 점검할 필요가 있다.

또한, 홈페이지의 접근권한 등도 수시로 면밀히 검토해야 한다. 만에 하나 개인정보의 노출이 발생되더라도 2차 피해를 방지하기 위해서는 법이 정하고 있는 암호화 조치를 취하는 것도 중요하며, 게시판 등에서 불필요한 개인정보가 게재되지 않도록 필터링 시스템을 적용하는 것도 검토할 필요가 있다. 보다 구체적인 조치사항은 안전행정부와 한국인터넷진흥원이 발표한 ‘홈페이지 개인정보 노출방지 가이드라인’을 참고하면 된다.

암호화 조치(안전한 암호화 알고리즘) 미비 사례

개인정보를 암호화하는 경우 ‘안전한 암호 알고리즘’으로 암호화해야 하는데(개인정보 안전성 확보조치 기준 고시 제7조제6항 참조), 이는 국내외의 전문기관에서 권고하는 알고리즘을 의미한다.

예를 들어 대칭키 암호의 경우 AES-128/192/256나 SEED 등, 공개키 암호의 경우 KCDSA(전자서명용)이나 RSA 등, 일방향(Hash) 암호의 경우 SHA-224/256/384/512나 Whirlpool 등이 이에 해당한다(구체적인 안전한 암호 알고리즘 예시는 ‘개인정보 암호화 조치 안내서’(안전행정부·한국인터넷진흥원 참조).

그런데 최근 개인정보침해 신고센터에 접수되는 사례들을 살펴보면, 일부 사업자들은 단순히 암호화만 적용하면 개인정보 보호법을 준수했다고 여기는 경우가 많다. 그러나 정확하게는 ‘권고되고 있는 안전한 암호화 알고리즘’이 사용되었는지 까지도 살펴볼 필요가 있다.

최근 모 포털의 고객 개인정보 유출에 대한 손해배상 소송이 진행 중인데, 이에 대해 1심 판결은 해당 포털사가 비밀번호 일방향 암호화 조치를 이행하기는 하였으나 현재 권고되지 않는 MD5 알고리즘을 사용했다는 이유 등을 들어 손해배상 책임을 인정한 바 있다.

물론 위 사례는 동일 사건이 다른 지방법원에도 계류 중이므로 아직 최종적 판단이 내려진 것은 아니겠으나, 법원이 개인정보의 안전성 확보조치에 대하여 단순히 법률에 명시된 조치의 형식적 이행만으로는 부족하고, 암호화 알고리즘의 암호 강도와 같이 실질적·구체적 조치까지 요구하였다는 점에서 사업자나 공공기관 등의 개인정보처리자에게 시사하는 점이 적지 않다.

민원 업무 처리 등을 위한 개인정보 이용·제공 사례

사업자나 공공기관 등에서 고객이 민원이나 일명 클레임(claim)을 제기한 경우, 이를 원활하고 신속하게 처리하기 위해서 고객의 개인정보를 관련자들이 이용하거나 협력업체, 민원 제기 대상자 등에게 제공하는 과정에서 개인정보보호법을 위반하는 사례가 개인정보침해 신고센터에 자주 접수되고 있다.

예를 들어 인근 상가의 법 위반 행위에 대해 관할 지방자치단체에 민원을 제기했더니 그 상가에서 나의 민원제기 사실을 전달받아 알고 있는 경우, 대형마트에서 제품 하자로 클레임을 제기했는데 아무런 사전 설명 없이 갑자기 제품 제조업체가 연락을 해오는 경우 등이 그 예이다.

과거 같으면 이러한 사례들은 통상적으로 인정될 수도 있겠으나, 현재 시행되고 있는 개인정보보호법에 따르면 당초 수집한 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하기 위해서는 해당 정보주체의 동의가 반드시 필요하며, 따라서 위에서 언급한 사례들은 비록 원활한 민원처리를 위한 것이라 하더라도 결과적으로는 개인정보보호법의 위반 여지가 있을 수 있다.

따라서 사업자나 공공기관 등은 업무를 처리하는 과정에 있어서 무심코 ‘과거의 관행’에 따라 개인정보를 처리하는 경우가 없는지를 철저히 살펴보고, 반드시 정보주체의 동의를 구하거나 또는 명확한 법령상 근거 등에 따라 개인정보를 처리할 수 있도록 제반 업무절차를 점검해야 한다.

영상정보처리기기(CCTV) 조치사항 위반 사례

영상정보처리기기(CCTV)와 관련한 조치사항은 개인정보보호법 시행 이후 사업자나 공공기관 등에 대해서 많은 홍보가 이루어졌고 이에 따라 안내판 설치와 같은 기본적 의무조치사항은 준수율이 향상된 것으로 체감된다.

다만 최근 개인정보침해 신고센터의 사례를 보면, 영세 자영업자나 소상공인의 CCTV 안내판 설치 미비를 지적하는 민원이 종종 접수되고 있다. 안내판 설치 의무는 공개된 장소에 CCTV를 설치·운영하는 자라면 반드시 지켜야할 조치사항이고 큰 비용이 소요되는 것도 아니므로 잠깐의 무관심으로 법률을 위반하는 경우가 없도록 주의를 기울여야 한다.

한편, 개인정보보호법의 영상정보처리기기 관련 규정(법 제25조)은 ‘공개된 장소’에 CCTV 등이 설치된 경우에 적용되는데 최근에는 비공개 장소(예를 들어 병원의 진료실, 근로모니터링 목적의 사무실 내부)에 CCTV를 설치·운영할 수 있는지에 대한 문의가 많이 증가했다. 이러한 경우는 법 제25조는 적용되지 않으며, 개인정보의 수집·이용 근거규정인 법 제15조가 적용될 것으로 판단된다.

따라서 병원 진료실 같은 비공개장소는 정보주체(환자 및 보호자 등)의 동의를 받거나, 정보주체의 권리보다 개인정보처리자의 정당한 이익이 명백하게 큰 경우 등에 한해 CCTV를 통한 개인영상정보 수집·이용이 허용된다. 특히, 사무실 내부에 근로모니터링 목적으로 설치되는 CCTV는 ‘근로자참여 및 협력증진에 관한 법률’에 따라서 의무적으로 노사가 협의하여 그 설치여부를 정하여야 함을 반드시 기억하여야 한다.

한국인터넷진흥원이 국내 민간 부문의 정보보호 현황 파악을 위해 기업과 개인을 대상으로 매년 실시하는 ‘정보보호 실태조사’(2013)에 따르면, 기업 부문에서 경기침체 등으로 인해 정보보호에 투자한 기업이 전반적으로 감소했으며 업종별·규모별 정보보호 수준 격차도 심화되고 있는 것으로 나타났다(정보보호 투자 사업체 비율은 26.1%에 불과, 전체 사업체의 73.3%는 정보보호 투자 전무).

일상적인 경제·업무 활동에 있어서 개인정보보호를 위한 노력은 자칫 후순위로 밀려나기 쉬우나, 만에 하나 개인정보 침해·유출 사고가 발생했을 경우 그에 따르는 손실이 현실적으로 훨씬 크다는 것이 실제 사례를 통해 입증되고 있다. 새로운 제도가 도입되면 일정부분 시행 초기의 어려움과 혼란이 있을 수 있으나, 개인정보를 안전하게 관리하는 것은 우리 사회공동체 모두의 책임과 의무라는 것을 인지하고 법에서 규정한 조치사항을 성실히 이행해야 한다.

[글 _ 조 규 민 한국인터넷진흥원 개인정보안전단장(gmcho@kisa.or.kr)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)