개인정보 노출 · 유출 사고 심각성!

개인정보 노출 · 유출 사고 심각성!

개인정보는 생존하는 개인에 대한 정보로서 성명 · 주민등록번호 등 개인을 식별할 수 있는 정보를 말합니다. 

만약 해당 정보만으로는 특정 개인을 식별할 수 없다하더라도 다른 정보와 결합해 식별할 수 있는 것도 개인정보에 포함이 됩니다. 

 

---

개인정보 보호법에서는 개인정보에 대한 정의를 이렇게 내렸습니다.

 

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

 

꼭 성명과 주민등록번호, 전화번호 등이 아니어도 특정 개인을 알아볼 수 있는 모든 정보가 개인정보에 해당한다는 사실, 오늘 주의 깊게 알아주셔야겠습니다. 

 

그렇다면 이 개인정보, 요즘 어떤 곳에서 사용하시나요? 

 

---

어느 사이트를 통해 물건을 구입한다거나, 음악 감상이나 영화 감상을 위해 월 이용료를 구독하거나, 휴대폰을 개통하거나, 카드 및 통장을 만들거나 등 너무 많은 곳에서 개인정보는 이용이 되고 있습니다.

 

기본적으로 가입을 할 때 휴대전화번호와 성명, 주민등록번호는 반드시 필요합니다. 

뿐만 아니라 자택주소, 직장주소까지 입력을 해야하는 경우도 존재합니다. 

 

 

 

이처럼 개인정보의 수입, 생성, 연계, 연동, 기록, 저장, 가공, 보유, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 유사한 행위를 하는 것을 "처리"라고 개인정보 보호법에서 정의를 내렸습니다. 

 

이런 개인정보를 업무를 목적으로 개인정보파일을 운용하기 위해 개인정보를 처리하는 공공기관과 법인, 단체 및 개인 등을 "개인정보 처리자" 라고 부르는데요. 

 

작은 정보더라도 개인을 특정할 수 있는 정보를 뜻하므로 이를 보유하거나 수집하는 개인정보 처리자들은 이 개인정보 보호에 더욱 더 신경을 쓸 수 있도록 개인정보 보호법에서 강조하고 있습니다. 

 

제3조(개인정보 보호 원칙) 

  ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
  ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
  ③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
  ④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
  ⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
  ⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
  ⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. <개정 2020. 2. 4.>
  ⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

 

또한 개인정보 처리자에게 방대한 양의 개인정보들이 수집되어있는 것은 당연한 일입니다. 

법에서는 이를 처리함에 있어서 개인정보가 더욱 더 안전하게 관리가 되고 보호를 받을 수 있도록 개인정보를 취급하는 자에 대한 감독을 하도록 명시를 하였습니다. 이 내용은 개인정보 보호법 제28조에서 확인할 수 있었는데요. 

 

제28조(개인정보취급자에 대한 감독) 

  ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다.
  ② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.

 

위와같이 개인정보를 처리하는 사람이라면 정기적인 개인정보 보호교육을 실시하는 것이 매우 중요한 일이라는 것을 짐작해볼 수 있습니다. 

 

개인정보 보호교육, 필요한 이유는 알았지만 법정의무교육 중에서 이 개인정보 보호교육은 이수를 하지 않더라도 미이수 과태료가 부과되지 않는 것으로 알고 있는데 왜 교육을 많은 곳에서 필요로 할까요? 

 

그 정답은 바로 아래에 있습니다. 

 

---

 

스마트폰 사용량이 증가하면서 지갑 없이 휴대폰만, 결제도 지문으로, 홍채 인식으로 등등 

개인정보가 아날로그 형식으로 보관되는 것이 아닌 전산으로 모두 보관이 되고 있습니다. 

 

그렇다면 개인정보 유출 피해 또는 노출 피해에 대해서 알고 계신가요? 

 

가끔 나의 신상정보가 유출된 것은 아닌지 조회를 해보라는 광고성 팝업을 보신 적이 있을 수 있습니다. 

이처럼 나도 모르게 개인정보가 유출되는 경우가 요즘은 많습니다. 

 

https://www.hankyung.com/it/article/202307121009i

'개인정보 유출 사고' LG유플러스에 과징금 68억원 부과

얼마전 29만건의 개인정보 유출로 인해 과징금 68억원이 부과가 된 LG U+에 대해 알고 계신가요? 

이는 기업에서 고객의 개인정보를 노출한 것은 아닙니다. 바로 사이버 해킹사고로 인한 유출사고였는데요. 

이에따라 개인정보보호위원회에서는 LG U+가 개인정보 관리 및 시스템 보안에 허술했다고 판단해 과징금을 68억원을 부과하였다고 합니다. 

 

기업의 시스템 보안 및 개인정보 관리 상태는 제법 많이 허술했던 모양입니다.

개인정보위의 조사 결과 올해 1월까지의 고객인증시스템의 보안 환경이 해커 등의 불법 침입에 상당히 취약했다고 합니다.

침입차단시스템, 침입방지시스템, 웹방화벽 등 기본적인 보안장비가 설치되지 않았으며 설치 중이더라도 일부는 기술지원이 중단되었거나 보안정책이 제대로 적용되지 않은 상태였다고 합니다. 

 

개인정보위는 이처럼 다수 국민의 개인정보를 처리하는 기업에서는 엄격한 개인정보 관리가 요구됨에도 불구하고 이러한 개인정보 유출사고로 이어진 것에 대해 과징금과 과태료를 부과하기로 결정했다고 하는데요. 

 

개인정보 보호법 제34조의 2(과징금의 부과 등) 조항에서는 개인정보 유출에 대한 보호위원회의 처벌에 대해 이렇게 명시가 되어있습니다. 

 

제34조의2(과징금의 부과 등) 

  ① 보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 있다. 다만, 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 개인정보처리자가 제24조제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다. <개정 2014. 11. 19., 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
  ② 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 다음 각 호의 사항을 고려하여야 한다. <개정 2014. 11. 19., 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
  1. 제24조제3항에 따른 안전성 확보에 필요한 조치 이행 노력 정도
  2. 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 주민등록번호의 정도
  3. 피해확산 방지를 위한 후속조치 이행 여부
  ③ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니하면 납부기한의 다음 날부터 과징금을 낸 날의 전날까지의 기간에 대하여 내지 아니한 과징금의 연 100분의 6의 범위에서 대통령령으로 정하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다. <개정 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
  ④ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니하면 기간을 정하여 독촉을 하고, 그 지정한 기간 내에 과징금 및 제2항에 따른 가산금을 내지 아니하면 국세 체납처분의 예에 따라 징수한다. <개정 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
  ⑤ 과징금의 부과ㆍ징수에 관하여 그 밖에 필요한 사항은 대통령령으로 정한다.
  [본조신설 2013. 8. 6.]

 

---

개인정보 보호교육을 듣지 않은 것에 대한 미이수 과태료는 없습니다. 

허나 이로 인해 이어진 개인정보를 제대로 보호하지 못하고 보안에 더욱 힘쓰지 못해 개인정보 유출 및 노출사고로 이어지는 경우에는 개인정보보호위원회에서 과징금 5억원 이상을 부과 또는 징수할 수 있다는 점이 가장 중요합니다.

 

개인정보, 

 

기업에서 개인정보를 다루지 않는 경우는 거의 없을 겁니다. 

하물며 직원을 채용할때도 근로자의 이름, 주민등록번호, 주소 등 기본적인 개인정보를 수집하며 이용할 수 밖에 없습니다. 

그렇다면 개인정보 보호교육 어떻게 실시하면 될까요?

 

개인정보 보호교육은 법정의무교육 중 한 가지 과정으로

현재 고용노동부 지정 위탁 훈련 기관에서 온라인으로 교육 실시가 가능합니다! 

 

강사가 사업장에 방문하지 않고 100% 비대면 방식으로 

진행할 수 있습니다.

 

교육 실시 및 신청 등 관련해서 궁금한 점은 아래 연락처로 문의주세요!