Home > 전체기사
13일부터 학원 개인정보보호 실태 현장점검 ‘돌입’
  |  입력 : 2015-04-13 14:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보 이용시 별도 동의·파기·접근권한 관리 등 집중점검

 

[보안뉴스 김경애] 행정자치부가 13일부터 23일까지 열흘간 전국 7만 6천여 개 학원에 대해 개인정보보호 실태 현장점검을 집중적으로 실시한다.


이번 현장점검에서는 사전에 자율점검을 수행하고 개선계획을 충실히 수립한 학원에 대해 계획기간 내에 보완하도록 개선 권고할 예정이다. 또한, 자율점검을 시행하지 않은 학원의 경우 법 위반사항이 적발되면 재발방지를 위해 과태료 부과 등 엄정한 행정처분을 실시할 것으로 알려졌다.


현장점검에서의 중점 점검내용은 △게시물, 전단지 등을 통한 개인정보 활용 시 별도 동의 여부 △수강생 개인정보의 파기기간 설정 여부 및 기간 내 파기 △접근권한 관리 및 암호화 설정 등 안전조치 여부 △홈페이지 및 학원관리 시스템 수탁사 관리의 적정성 등이다.


개인정보 활용 시 별도 동의의 경우 고유식별정보와 민감정보, 마케팅용 필요정보 등 수집시 별도 동의를 받고 있는지 여부가 중요하다. 고유식별정보의 경우 여권번호, 운전면허번호, 외국인등록번호 등이 해당되며, 민감정보는 사상·신념에 관한 정보, 노동조합·정당의 가입·탈퇴에 관한 정보, 정치적 견해에 관한 정보, 건강·성생활에 관한 정보, 유전자 검사 결과로 얻어진 유전정보, 범죄경력자료에 해당하는 정보가 포함된다.


그러나 대부분 고유식별정보와 민감정보를 수집하면서 구분해 동의를 받지 않고, 일반동의만 받는 사례가 많은 것으로 드러났다. 또한, 동의를 거부할 권리가 있다는 사실이나 동의 거부에 따른 불이익에 대해 고지하지 않는 경우가 상당수 있다는 게 행자부 측의 설명이다. 


이와 관련 행자부 관계자는 “동의를 받을 때는 동의 및 미동의를 정보주체가 선택할 수 있도록 모두 표시해야 하며, 홈페이지 개발시 회원가입 없이 각종 게시판을 통해 개인정보를 수집하는 경우에도 개인정보 수집·이용에 관한 필수사항을 고지하거나 명시적 ‘동의’ 표시(체크) 제공이 필요하다”고 강조했다.


두 번째로 수강생 개인정보의 파기기간 설정 여부 및 기간 내 파기의 경우 온라인 회원 가입 등을 통해 수집해 보유하고 있는 개인정보(파일)는 수집목적이 달성되었거나, 보유기간이 경과된 경우에는 지체없이 보유기간 종료일로부터 5일이내 파기해야 한다. 따라서 학원에서는 이 부분을 반드시 확인해야 한다.


세 번째로는 접근권한 관리 및 암호화 설정 등 안전조치 여부다. 접근권한의 경우 업무 성격에 따라 팀별, 개인별로 접근권한이 차등으로 부여되어야 한다. 그러나 시스템 개발 초기시 부여된 관리자 권한, 디폴트 권한 등으로 일괄 부여되거나 퇴직자 계정을 삭제하지 않고 남겨 놓거나 업무 편의상 하나의 계정(ID)을 다수의 사용자가 사용하는 사례가 종종 발견되고 있어 지적사항으로 제기되고 있다.


암호화 설정 미흡의 경우도 마찬가지다. 와이어샤크(WireShark) 등의 프로그램을 통해 전송되는 패킷의 암호화 여부를 체크한 결과, 암호화하지 않고 전송되는 사례가 다수 발견되고 있다. 일례로 SSL 보안서버 구축을 했으나, 홈페이지의 소스코드를 수정을 하지 않아 데이터 전송 시 암호화되지 않는 경우가 있다. 또한 PC에 저장하거나 USB 등 매체를 통해 전달하거나 이메일 등의 첨부파일로 전송하는 경우 암호화하지 않고 전송하는 사례가 발견되고 있는 것이다.


마지막으로는 홈페이지 및 학원관리 시스템 수탁사 관리의 적정성이다. 위탁사는 수탁사와의 위탁계약 시 문서에 ①위탁업무 수행목적외 개인정보 처리 금지에 관한 사항 ②개인정보의 기술적·관리적 보호조치에 관한 사항 ③위탁업무의 목적 및 범위 ④재위탁 제한에 관한 사항 ⑤개인정보 접근제한 등 안전성 확보 조치에 관한 사항 ⑥위탁업무와 관련해 보유하고 있는 개인정보 관리현황 점검 등 감독에 관한 사항 ⑦수탁자가 준수해야할 의무를 위반한 경우 손해배상 등 책임에 관한 사항 등이 필수로 포함돼 있어야 한다.


하지만 계약서에 누설 금지 등의 사항만 포함하고, 필수사항을 누락한 사례가 많다는 게 행자부 측의 설명이다.


이와 관련 행자부는 앞으로도 학원에서 보유한 개인정보의 안전성 확보를 위해 학원의 개선 이행계획을 지속적으로 확인하고, 수강생관리 시스템을 개발·운영하는 IT전문 수탁사 점검을 통해 점검 사각지대인 소규모 학원에 대해서도 일괄적인 개선을 유도할 계획이다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)