Home > 전체기사
가장 많이 적발되는 개인정보 안전성확보 조치 위반사례
  |  입력 : 2018-05-18 17:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안전성확보 미조치 사례는 내부 관리계획 미수립, 암호화 미적용 등 주로 적발

[보안뉴스 김경애 기자] 개인정보 유출사고가 발생한 기업들의 경우 안정성확보 조치가 미흡한 경우가 대부분이다. 내부 관리계획 미수립을 비롯해 비밀번호 작성 규칙 미흡, 비밀번호 관리 소홀, 암호화 미조치 등 다양한 위반사항들이 적발되곤 한다. 여기에서는 개인정보의 안전성 확보조치 위반사례를 살펴보고자 한다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


1. 내부 관리계획 미수립
A병원은 원활한 업무 처리를 위해 환자 개인정보 30만 건 이상 보관하고 있으며, 이를 관리하기 위해 개인정보처리 시스템을 도입 운용하고 있다. 의료정보와 의무 기록 등의 안전한 관리를 위해 ‘개인정보보호를 위한 내부 관리계획 및 관련 문서’를 작성해 관리하고 있다. 그러나 A병원의 내부 관리계획 세부항목을 보면 개인정보 보호책임자 지정 등 개인정보보호법에 따른 필수 항목을 반영하지 않은 것으로 드러났다.

내부 관리계획을 수립할 때는 ①개인정보 보호책임자의 지정에 관한 사항 ②개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 ③개인정보취급자에 대한 교육에 관한 사항 ④접근권한의 관리에 관한 사항 ⑤접근 통제에 관한 사항 ⑥개인정보의 암호화 조치에 관한 사항 ⑦접속기록 보관 및 점검에 관한 사항 ⑧악성 프로그램 등 방지에 관한 사항 ⑨물리적 안전 조치에 관한 사항 ⑩개인정보 보호 조직에 관한 구성 및 운영에 관한 사항 ⑪개인정보 유출사고 대응계획 수립·시행에 관한 사항 ⑫위험도 분석 및 대응 방안 마련에 관한 사항(‘유형 3’만 해당) ⑬재해 및 재난 대비 개인정보처리시스템의 물리적 안전 조치에 관한 사항(‘유형 3’만 해당) ⑭개인정보처리 업무를 위탁하는 경우, 수탁자에 대한 관리 및 감독에 관한 사항(‘유형3’만 해당) ⑮그 밖에 개인정보 보호를 위하여 필요한 사항 등 필수 사항을 모두 반영 및 수립했는지 확인해야 한다.

이에 따라 A병원은 개인정보 내부 관리계획 수립 및 이행에 대한 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

2. 비밀번호 작성 규칙 미수립
B업체는 호텔·콘도·스키장·골프장 등 종합 레저 사업을 하는 업체로, 대표 홈페이지를 통해 회원으로 가입한 고객들의 개인정보를 수집하고 있다. 개인정보처리 시스템을 도입해 개인정보를 저장·운용하고 있다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


그러나 B업체는 개인정보처리 시스템에 로그인할 때 비밀번호 작성 규칙 수립 및 적용이 되어 있지 않았다. 이는 제29조 위반에 해당된다. 해당 시스템에 개인정보취급자가 안전한 비밀번호를 설정해 이행할 수 있도록 개인정보처리자가 비밀번호 작성 규칙을 수립해 이를 시스템상에 안전하게 적용해야 하는데 그렇지 않았기 때문이다.

이에 따라 B업체는 비밀번호 작성 규칙 수립 및 이행 관련 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

3. 홈페이지 계정 비밀번호 전송 구간 암호화 미흡
학습지·학습 서적 출판업체인 A업체는 초등학생 저학년 학생들을 위한 교육 프로그램을 운영하고 있다. 회원 가입을 거쳐 로그인 후 교육 프로그램 참여가 가능하도록 설계돼 있다. 그러나 현장점검 결과, 메인 페이지와 교육 페이지 모두에서 회원 가입 및 로그인에 사용되는 비밀번호를 외부망으로 전송할 때 비밀번호가 암호화되지 않은 채 평문으로 전송되고 있는 것으로 나타났다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


이는 개인정보보호법 제29조 위반으로 안전성 확보조치 관련 시정조치와 3,000만 원 이하 과태료의 행정처분을 받았다.

4. 개인정보처리 시스템 비밀번호 전송 구간 암호화 미적용 ①
B학교는 사립대학교로, 소속 학생 외에도 비소속 학생과 일반인을 대상으로 교육 서비스를 제공하고 있다. 해당 교육 서비스 과정은 홈페이지를 통해서만 접수가 가능한데, 수강 종료 후 학위 및 자격증 확인을 위해 수강생의 개인정보를 준영구적으로 보관하고 있다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


현장점검 결과, B학교는 개인정보를 보관하고 있는 개인정보처리 시스템을 도입·운용하고 있다. 그러나 개인정보취급자는 홈페이지 시스템 로그인할 때 비밀번호를 암호화하고 있지 않았다. 이는 개인정보보호법 제29조 위반으로 B학교는 비밀번호 전송 구간 암호화 적용 관련 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

5. 개인정보처리시스템 접속기록 항목 누락
A기관은 주택 건설, 토지 개발, 임대 및 보상, 체육 시설, 장례 시설 등의 공공 업무를 수행하는 기관이다. 다양한 공공사업 분야를 포괄하고 있다 보니 분야별 사업 특성에 따라 수집·저장하는 개인정보도 달랐고, 그것을 보관・관리하는 개인정보처리시스템 또한 여러 개로 분리될 수밖에 없었다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


A기관은 총 5개의 개인정보처리 시스템을 운용하고 있었는데, 현장점검 결과, 이들 개인정보처리 시스템에 대한 접속기록이 제대로 이루어지지 않는 것으로 나타났다. 그 중 2개의 개인정보처리 시스템의 경우 접속 일시와 IP 주소를 포함한 개인정보취급자의 접속기록을 보유하고 있었지만, 접속기록 필수 항목(①계정(ID), ②접속 일시, ③접속자 정보(IP 주소), ④수행 업무) 중 개인정보취급자 ID 및 수행 업무에 대해서는 기록하고 있지 않았다.

개인정보처리 시스템의 접속기록은 불법적인 접근이나 행동을 확인할 수 있는 중요한 기록인 만큼 필수 항목들이 빠짐없이 기록·관리돼야 하고, 복수의 개인정보처리 시스템을 운용할 경우 이 모두에 적용되어야 한다.

이 사례에서 A기관은 개인정보처리 시스템에 대한 접속기록은 보유하고 있었지만 접속기록 중 필수 항목을 기록하고 있지 않아 개인정보보호법 제29조 위반에 해당한다. 이에 따라 A기관은 개인정보처리 시스템 접속기록 관리 관련 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

6. 세션 타임아웃 미적용
A병원은 고객들의 개인정보를 개인정보 수집 관련 동의서를 바탕으로 수집·저장하고 있다. 이러한 개인정보를 안전하게 보관하고 효율적으로 관리하기 위해 개인정보처리 시스템을 도입·운용하고 있다. 그러나 현장점검 결과, 개인정보처리자가 해당 개인정보처리 시스템에 대하여 세션 기간 제한을 수립하지 않은 것으로 드러났다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


개인정보취급자가 일정 시간 이상 시스템에서 업무 처리를 하지 않을 경우 자동으로 접속 차단을 하지 않고 있었으므로 개인정보보호법 제29조 위반에 해당된다. 이에 따라 A병원은 개정정보처리시스템 세션 타임아웃 정책 적용 관련 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

한편, 올해 하반기 개인정보보호 정책방향을 설명하고, 상반기 개인정보보호 실태점검 결과에 따른 기업의 대응방안을 제시하는 자리가 마련될 예정이라 주목된다. 오는 5월 31일부터 6월 1일까지 행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사인 PIS FAIR 2018이 코엑스 그랜드볼룸에서 열린다.

이번 PIS FAIR 2018에서는 시행이 얼마 남지 않은 유럽 개인정보보호법(GDPR) 세션과 함께 개인정보보호와 관련된 이슈와 신기술들이 이틀에 걸쳐 세부적으로 소개될 전망이다. PIS FAIR 2018은 홈페이지를 통해 사전등록하면 무료 참관이 가능하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향