성명, 주민등록번호 및 영상을 통해 쉽게 개인을 알아볼 수 있는 정보 또는 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해서 알아볼 수 있는 정보 등을 개인정보라고 정의내립니다.
또한 개인정보를 업무를 목적으로 개인정보파일을 운용하기 위해 개인정보를 처리하는 공공기관과 법인, 단체 및 개인 등을 개인정보처리자라고 부르는데요.
개인정보보호위원회에서는 이처럼 개인정보가 많이 수집되고 이용되는 개인정보 처리자 만큼은 법에서 명시를 하여
더욱 안전하게 관리하고 보호할 수 있도록 개인정보를 취급하는 자에 대한 감독을 할 수 있도록 정해둔 것 입니다.
제28조(개인정보취급자에 대한 감독)
① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다. ② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
위와같이 개인정보를 취급하는 자는 개인정보의 적정한 취급 보장 및 올바르게 보안될 수 있도록 "정기적인 교육"이 필요하다고 보는 것 입니다.
개인정보 보호교육은 연간 1~2회, 1시간 이상 실시를 하여야 하며 개인정보를 취급 및 처리하는 사람이라면 모두!
교육의 대상이 됩니다.
포털 사이트에 "개인정보 유출 사고" 라고 검색하면 관련도 순으로 제일 상단에 노출되고 있는 언론 기사들 입니다.
가장 최근 일어난 기사부터 알아보겠습니다.
바로 고용정보원과 고용노동부가 운영하는 구인 및 구직 포털인 워크넷인데요.
지난 6일 대규모 정보 유출 사고가 발생했었다고 합니다.
이에 한국고용정보원은 오늘인 19일에 개인정보 보안 강화를 위해서 내달 1일부터는 워크넷 로그인 시 인증서 기반의 로그인 절차를 도입할 예정이라고 공지를 하였습니다.
앞서 발생했던 대규모 개인정보 유출 사고는 중국 등 해외IP에서 23만여건의 워크넷 무단접속을 확인했다고 밝힌 것으로 워크넷에는 성명, 성별, 주소 뿐만 아니라 학력사항 및 경력사항 등이 담겨있는 이력서 정보가 있기 때문에 사용자들의 불안감이 더욱 커질 수 밖에 없었습니다. 고용정보원은 이와 같은 피해가 재발하는 것을 막기 위한 방안으로 인증서 기반의 로그인 절차를 거칠 수 있도록 시스템 개편을 결정하게 되었다고 합니다.
상대적으로 보안에 취약한 것으로 여겨지는 SNS 계정과 연동하는 로그인 서비스는 8월 중으로 중단 될 예정으로 보입니다.
마지막 언론 기사는 개인정보 약 30만건이 유출되었던 LG유플러스에 대해 7월 12일 개인정보보호위원회가 과징금 68억원, 과태료 2천 700만원을 부과했다는 기사입니다.
이 과징금 금액은 개인정보보호위원회가 그동안 국내 기업에 부과한 과징금 가운데 역대 최대 금액으로 알려졌습니다.
지난 1월 해커의 공격을 받아 불법거래 사이트에 고객의 휴대전화번호와 이름, 주소 등의 개인정보 약 60만건(중복 제거시 30만건)이 공개되는 사고가 있었습니다. 이에 대해 개인정보보호위원회는 민관 합동조사단과 경찰과 협조하여 조사를 해왔는데요.
개인정보보호위원회는 시스템 관리가 전반적으로 부실하였으며, 타사에 대비해 정보보호와 관한 투자와 노력이 저조한 것이 이번 개인정보 유출 사고로 이어졌다고 판단한다고 밝혔습니다.
조사에 따르면 서비으 운영 인프라와 보안 환경이 해커의 불법침입에 매우 취약하였으며 사용하는 소프트웨어 대부분이 단종되거나 기술지원이 종료된 상태였던 것으로 확인되었다고 합니다.
또한 불법침입과 침해사고 방지에 필요한 방화벽 등 기본적인 보안장비가 설치되지 않았거나, 설치 중이더라도 보안정책이 제대로 적용되지 않는 등의 부실한 면이 많았던 것으로 확인되어 30만 개의 개인정보를 유출시킨 이 기업에 대해 역대 최대 과징금 68억원을 부과하는 결과가 나왔습니다.
"살아 있는 개인에 관한 정보"로 성명, 주민등록번호 및 영상을 통해 쉽게 개인을 알아볼 수 있는 정보 또는 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보 등 입니다.
법에서는 이렇게 정의내립니다.
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24., 2020. 2. 4.> 1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다. 다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다) 1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다. 2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다. 3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 6. “공공기관”이란 다음 각 목의 기관을 말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다. 8. “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.
이렇게 말하는 개인정보 보호법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 합니다.
이 개인정보, 다들 아시겠지만 요즘 여러 곳에서 사용하고 있습니다.
쇼핑을 할 때, 음악&영화 감상을 위해서 월 정액권을 구독하는 경우, 인터넷 강의를 수강하기 위해 가입하는 경우,
하물며 가장 기본적으로 필요한 휴대폰 개통 혹은 통장 개설 그리고 카드 발급 등등
무엇 하나 개인정보를 수집하지 않는 경우가 없습니다.
성명, 주민등록번호, 휴대전화번호 만이 아니라 신분증 정보 또는 자택 및 직장 주소를 요구하며 수집 하는 곳 역시 존재합니다.
<개인정보 수집 및 이용, 제공에 동의하시겠습니까?>
이 문장 어디선가 익숙하지 않으신가요? 제법 자주 보는 문장이실 겁니다.
개인정보 보호법에서는 개인정보의 수입, 생성, 연계, 연동, 기록, 저장, 가공, 보유, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 유사한 행위를 하는 것을 "처리"라고 정의를 내립니다.
그리고 이런 개인정보를 업무를 목적으로 개인정보파일을 운용하기 위해서 개인정보를 처리하는 공공기관과 법인, 단체 및 개인 등을 "개인정보 처리자"라고 부릅니다.
이처럼 작은 정보이더라도 개인을 특정할 수 있는 정보들을 보유하거나 수집하는 개인정보 처리자들은 이 개인정보를 보안하고 처리하는 데 더욱 신경을 쓰도록 거듭 강조를 합니다.
제3조(개인정보 보호 원칙)
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. ③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. ④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. ⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. ⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. ⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. <개정 2020. 2. 4.> ⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
개인정보 처리자에게 많은 양의 개인정보가 수집되어있는 것은 당연합니다.
그렇기에 법에서는 이것을 처리 및 수집 등 함에 있어 개인정보를 더욱 안전하게 관리하고 보호할 수 있게
개인정보를 취급하는 자에 대한 감독을 개인정보 보호법에서 명시를 하였습니다.
제28조(개인정보취급자에 대한 감독)
① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다. ② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
위에서 보실 수 있듯 개인정보 취급을 하는 사람에게는 개인정보의 적정한 취급 보장을 위해 "정기적인 교육" 실시가 필요하다는 것입니다.
개인정보 보호교육, 연간 1~2회 정도 실시하셔야 하며 교육 대상은 개인정보를 취급 및 처리하는 모든 자가 교육의 대상입니다.
개인정보 보호교육에서는
개인정보의 개념,
개인정보 보호법의 개정 내용,
개인정보 처리 기준,
개인정보 유출 및 노출의 정의
에 대해서 학습을 하게 됩니다.
그러나 개인정보 보호교육 미이수에 대한 과태료는 없습니다.
"미실시 과태료도 없는데 굳이 교육을 할 필요가 있나요?"
당연히 있습니다.
법에서는 아래와 같이 개인정보처리자가 처리하는 개인정보가 유출, 또는 노출 등 사고가 발생하는 경우5억원 이하의 과징금을 부과 및 징수할 수 있다고 명시를 하였습니다.
제34조의2(과징금의 부과 등)
① 보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 있다. 다만, 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 개인정보처리자가 제24조제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다. <개정 2014. 11. 19., 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.> ② 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 다음 각 호의 사항을 고려하여야 한다. <개정 2014. 11. 19., 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.> 1. 제24조제3항에 따른 안전성 확보에 필요한 조치 이행 노력 정도 2. 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 주민등록번호의 정도 3. 피해확산 방지를 위한 후속조치 이행 여부 ③ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니하면 납부기한의 다음 날부터 과징금을 낸 날의 전날까지의 기간에 대하여 내지 아니한 과징금의 연 100분의 6의 범위에서 대통령령으로 정하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다. <개정 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.> ④ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니하면 기간을 정하여 독촉을 하고, 그 지정한 기간 내에 과징금 및 제2항에 따른 가산금을 내지 아니하면 국세 체납처분의 예에 따라 징수한다. <개정 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.> ⑤ 과징금의 부과ㆍ징수에 관하여 그 밖에 필요한 사항은 대통령령으로 정한다. [본조신설 2013. 8. 6.]
지금까지 봐온 법정의무교육 미이수 과태료에 비하면 굉장히 큰 금액일겁니다.
개인정보 보호위원회에서는 개인정보를 취급함에도 개인정보취급 및 처리자에 대한 감독을 소홀히 하여
정기적인 교육을 실시하지 않은 것은 바로 개인정보를 보안 및 관리하는 데 힘쓰지 않았으며 이것이 바로 개인정보의 유출 및 노출 사고로 이어진 것으로 판단하므로 과징금을 부과하는 건 당연한 겁니다.
따라서 개인정보 보호교육은 미이수 과태료가 없다고 하더라도.
어떻게 생각하면 가장 중요한 교육이 아닐까 싶습니다.
마지막으로 개인정보 노출 사고, 유출 사고?
대체 어떻게 구분을 할 수 있을까요?
먼저 개인정보 노출이란, 홈페이지 상의 개인정보가 공개되어 누구든지 알아볼 수 있는 상태입니다. 해커에 의한 고의 노출이나 정보주체 스스로가 공개한 경우가 포함됩니다.
대표적으로는 1. 개인정보가 포함된 게시물이 누구든지 알아볼 수 있는 상태로 등록이 된 경우 2. 이용자 문의 댓글에 개인정보가 공개되어 노출이 된 경우 3. 개인정보가 포함된 첨부파일을 홈페이지 상에 게시한 경우 가 포함됩니다.
노출 시 조치 방안으로는 1. 신속히 노출 페이지를 삭제 또는 비공개 처리 2. 검색엔진에 노출이 된 개인정보를 삭제 요청 3. 시스템의 계정, 로그 등을 점검 후 분석 결과에 따라 접속 경로 차단 후 제3자 접근 여부 파악 4. 재발방지를 위해 서버, PC 등 정보처리시스템의 백신을 최신으로 업데이트 후 디렉토리 점검
등이 있겠습니다.
이어서 개인정보 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대해 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로 말합니다.
대표적으로는 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 가 있습니다.
개인정보 유출 시 조치방안으로는 1. 유출된 정보주체에게 지체 없이 5일 이내 통지할 것. 정보통신서비스 제공자 등은 24시간 이내입니다. 2. 피해 최소화를 위한 대책을 마련 및 필요한 조치를 취할 것. 3. 1천 명 이상의 개인정보가 유출이 된 경우에는 관련 기관에 신고할 것. (개인정보보호위원회 또는 한국인턴ㅅ진흥원) 신고 후 개인정보 유출 사실을 홈페이지에 7일 이상 게시하여야 합니다.
