'Privacy Security'에 해당되는 글 108건

  1. 2014.12.08 개인정보 암호화 대상 어떻게 준비해야 하나?
  2. 2014.12.08 [기고] 사회복지시설 개인정보보호 가이드라인
  3. 2014.10.23 [기고] 제5회 "금융사기 피싱,파밍,스미싱" 당했을때 대응방법
  4. 2014.10.02 [기고] 제4회 개인정보 피해 발생시 구제절차는?
  5. 2014.09.22 안전행정부 개인정보 교육 관련 피해 주의보 (1)
  6. 2014.09.11 [기고] 제3회 소중한 개인정보보호를 위한 방법론
  7. 2014.09.02 2014 , 개인정보보호 연차 보고서
  8. 2014.09.02 개인정보보호법 의무교육인가 아닌가? (2)
  9. 2014.07.22 개정 개인정보 안전성 확보조치 기준 고시(안) 분석과 의미
  10. 2014.05.21 이제 법에 근거하지 않는 주민번호 수집은 안되요
  11. 2014.03.08 개인정보취급(처리)방침 심사제도 제안하며
  12. 2013.11.24 [현장점검-1] 개인정보보호법 얼마나 지키고 있는가 - 부산B전시행사장
  13. 2013.11.20 PIPL(개인정보보호 인증제) 설명회 참석 후기
  14. 2013.10.01 개인정보보호법 제정 2주년에 즈음하여 소회
  15. 2013.08.08 개인정보 필수조치사항 체크리스트
  16. 2012.12.10 내년 2월부터 주민번호 수집할땐 과태료 내야해요
  17. 2012.11.12 PIMS 인증기준 국제표준 신규과제 채택
  18. 2012.11.03 개인정보보호 상담사례집입니다
  19. 2012.11.02 포털 , 카카오톡 " 영장 없으면 개인정보 제공 못해"
  20. 2012.09.09 개인정보보호 관점에서본 2012 부산IT 엑스포관람후기
  21. 2012.08.17 8/18일 내일부터 주민등록번호 수집하면 처벌 -망법개정시행
  22. 2012.07.30 [기획포스팅] 이통사 개인정보 유출과 주가지수 변화
  23. 2012.05.15 스승찾기로 알아본 개인정보보호 실태
  24. 2012.02.13 개인정보 암호화 구현 방법 쉽게 이해할 수 있는 안내서 발간
  25. 2012.02.01 '정보통신망법 개정안'할때 일부 법률첨삭해야 (2)
  26. 2012.01.30 개인정보보호법 관련 각종 시행일 일괄 정리
  27. 2012.01.30 개인정보보호법에 누락된, 정기자체감사부문 법(고시) 개정 필요
  28. 2011.11.23 안돼 ~~ 반에 반토막난 개인정보보호 예산
  29. 2011.10.02 법률과 IT기술 두마리 토끼를 잡아야 진정한 전문가 (2)
  30. 2011.07.23 개인정보보호법 시행되면 분쟁조정 급증 예상


개인정보 암호화 대상에 대하여 간략하게 정리 해 보도록 하겠습니다. 자세한 내용은 추후 따로 정리토록 하겠습니다. -주인백




                                                      <source : http://bit.ly/1qRT7dO>



1. 개인정보 암호화 대상



고유식별정보(주민등록번호,운전자면허번호, 외국인등록번호, 여권번호), 비밀번호, 바이오정보 



2. 주민등록번호 암호 의무화 (법적근거: 개인정보보호법 제24조2항)



 개인정보보호법 제24조2항에 따라 “개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실.도난.유출.변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출시 영향 등을 고려하여 대통령령으로 정한다.” <신설 2014.3.24.>라고 되어 있어 주민등록번호 암호화는 의무화 되었다.


※ 안전성 확보조치 고시 기준에서 상위 법률로 규정지어졌다는 측면에서 의미가 깊다. 개정된 개인정보보호법에 따르면 주민등록번호 유출시 '과징금 5억원 이하'로 되어 있어 철저한 대응이 필요하다. 



3. 암호화 기준



1) 전송시 : 고유식별번호, 비밀번호, 바이오정보 - 양방향 암호화

2) 저장시: 

    가. 비밀번호 : 일방향 암호화

    나. 바이오정보: 일방향 암호화

    다. 고유식별정보

          a. 인터넷, DMZ 구간 : 암호화

          b. 내부망 : 영향평가 및 위험도 분석에 따른 암호화 조치 (단, 주민등록번호는 암호 의무화)

※ 주민등록번호에 대해서는 내부망이라 하더라도 기존의 위험도 분석을 통하여 26가지를 충족하면 암호화 조치를 하지 않아도 되었지만 2016.1.1일부터는 주민등록번호는 의무적으로 암호화 해야 함. 



4. 주민등록번호 암호 의무화 시행시기 : 2016.01.01일


※ “일방향 암호화”는 암호를 다시 원문(평문)으로 복구할 수 없는 암호화 방식을 의미함

※ “양방향 암호화”는 암호의 복구가 가능한 방식으로 암호화 과정을 역으로 해독하여 암호를 다시 원문(평문)으로 전환 가능함










신고
Posted by 엔시스

 

사회복지시설 개인정보보호 가이드라인

 

글: 전주현

(경성대 컴공과 외래교수)

(ISMS/PIMS/PIPL 인증심사원)

 

 

개인정보보호법이 제정된지 3년이라는 시간이 지났다. 개인정보보호인식의 필요성은 어느정도 공감대를 형성한듯 하다. 그러나 아직도 현장에는 실무 적용에 있어 미흡한 부분이 있다. 여러기관을 다니면서 개인정보에 대한 교육도 하고 자문도 하다보니 다양한 분야에 개인정보보호를 연구하게 되었다. 그중에서도 저소득계층이나 사회복지를 위하여 애쓰시는 분들을 위하여 개인정보처리 취급자 입장에서 쉽게 가이드 해 보고자 한다. 아래 사항만 숙지해도 개인정보보호 최소한의 준수해야 할 업무는 이루어지리라 생각한다.




                                            <source: http://bit.ly/1yFVBUJ >



 

1. 개인정보의 범위

 

개인정보라 함은 살아있는 개인에 관한 정보로 다른 정보와 결합하여 용이하게 누구인지를 식별할 수 있으면 개인정보라 보고 있다. 사망자에 대한 정보와 법인에 대한 정보는 개인정보가 아니다. 개인정보 취급자가 가장 궁금해 하는 것이 바로 ‘개인정보의 범위’ 이다. 어디까지 개인정보로 규정할 것인지를 잘 모르기 때문이다. 법 조문을 읽는다 해도 쉽게 이해가 되지 않기 때문이다.

 


 

이름과 이메일이 결합되면 현재 유권해석상 개인정보로 보지 않는다. 이유는 이메일만가지고 개인을 특정할 수 없고, 이름도 동명이인이 있을수 있기 때문이다. 두 개 결합한다고 해도 마찬가지이다.

 


2. 개인정보 동의시 필수 고지 사항

 


개인정보보호법 제15조 2항을 보면 다음과 같이 명시하고 있다. ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

 

 

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

※ 법 제15조 2항을 위반할 경우 5000만원 이하의 과태료를 부과한다.

 

 

개인정보 수집의 첫단계이므로 ‘개인정보 활용동의서’를 받으면서 위 4가지 사항만 지키더라도 개인정보보호 의무준수사항에 절반은 지켰다고 본다. 업무에 적용시 꼭 기억하고 실천해야 한다. 현장을 둘러보면 위 4가지 사항은 지키지 않는 경우를 다수 보았다. 사회복지 시설을 이용하는 이용자들의 개인정보를 수집시 준수했는지를 다시한번 상기하면서 점검해 보자.

 

 

3. 개인정보 위탁과 3자 제공

 

개인정보 업무를 처리하다보면 이용측면에서 위탁과 3자제공을 하게 된다. 물론 개인정보 취급자가 업무에 개인정보를 활용하는 것은 기본 사항이다. 핵심은 위탁과 3자 제공시에 개인정보 유출 사고로 자주 발생한다는 것이다. 즉, 우리 사회복지시설에서는 법적 의무준수상을 잘 지켰지만 개인정보 파일이 다른 곳으로 이동되거나 다른 곳에서 조회,열람 하면서 유출 되었을때 누구 책임인지가 중요한 관건이 된다. 그럼 우선 위탁과 3자제공의 차이점부터 살펴보자.

 


 

※ 동의 없는 개인정보 3자제공시 5000만원 이하의 과태료를 부과한다.

 

사회복지시설에서 위탁과 3자 제공시에 업무상 유의점은 다음과 같다.

 

① 3자 제공시에는 제공받는자, 이용목적, 이용항목,보유기간, 거부시 불이익을 고지한다.

② 표준 위탁계약서등을 이용하여 반드시 문서로 처리한다.(책임소재 결정 중요근거)

③ 개인정보 위탁,3자제공 업무시 공문 또는 증적자료를 남긴다.(구두상으로 처리금지)

④ 위탁과 3자제공시에는 반드시 개인정보처리방침에 공개를 해야 한다.

 

4. 개인정보파기

 

개인정보보호법에 개인정보 파기 시점은 목적달성시 즉시파기 한다고 명시하고 있다. 여기서 목적달성시는 법적 근거가 없는 경우, 개인정보 수집시 목적이 달성되었을때 즉시 파기하는 것을 의미한다. 법에 근거한 보관 기간이 있을 경우, 그 기간이 만료하였을때 즉시 파기해야 한다. 파기 할때에는 파기 관리대장에 기록하여 관리를 해야 한다.

 



 

5. 개인정보처리 방침

 

개인정보처리방침은 개인정보를 처리자 입장에서 어떻게 관리하고 있는가를 보여주는 얼굴이라고 보면 된다. 주로 개인정보처리자 홈페이지를 이용한다. 홈페이지 제일 하단에 보면 볼드체로 “개인정보처리방침” 혹은 “개인정보취급방침”이라고 명시하고 있다. 전자는 개인정보보호법상, 후자는 정보통신망법상 적용하는 용어지만 구분에 대한 큰 의미를 두지는 않는 편이다. 망법에서는 개인정보취급방침을 표시하게끔 명시는 하고 있다. 개인정보처리방침에 반드시 명시해야 할 조항은 다음과 같다.

 



★ 개인정보처리방침 필수사항 ★

 

① 개인정보의 처리 목적

② 개인정보의 처리 및 보유 기간

③ 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

④ 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

⑤ 정보주체의 권리·의무 및 그 행사방법에 관한 사항

처리하는 개인정보의 항목

⑥ 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

개인정보의 파기에 관한 사항

⑧ 개인정보 보호책임자에 관한 사항

⑨ 개인정보 처리방침의 변경에 관한 사항

⑩ 개인정보의 안전성 확보조치에 관한 사항

 

 

⑥항에서 대통령령으로 정한 사항에는 영상정보처리기기(CCTV)등도 포함이 되어 있다. 개인정보처리방침에 주의사항은 위에 명시한 10가지를 반드시 수립하고 공개해야 한다. 또한 위탁과 3자제공이 있음에도 불구하고 현황을 몰라 개인정보처리방침에 반영하지 못하는 경우가 있다. 현행화 하는 것이 무엇보다 중요하다. 유출시에 현행화 되어 있지 않으면 모두 위반사항으로 보기 때문이다.

 

개인정보처리방침 수립시 인터넷에 있는 샘플을 찾아 처리자명만 수정하여 그대로 사용하는 경우가 다수인데 사회복지시설에 맞게 적용하여 수립하는 것이 바람직하다. 수립시 어려움이 있으면 공공기관의 경우 주요 광역도시나 정보통신망법 대상자의 경우 주요 포털등의 개인정보취급.처리방침을 참조하면 어느정도 도움이 된다.

 

 

6. 사회복지시설 개인정보 문서보관 체크리스트

 

개인정보보호법에 제정이 되면서 기존에 컴퓨터 파일로 처리되던 개인정보파일이 종이문서까지 확대 적용됨으로써 그 범위가 넓어졌다. 각종 신청서나 서식과 양식에 기록된 개인정보도 법에 적용을 받는다는 사실이다. 사회복지시설 개인정보 문서보관에서 체크해야 할 사항에 대하여 알아보도록 하자.

 

개인정보 문서가 분실․도난․유출․변조 또는 훼손되지 아니하도록 “내부 관리계획”을 수립하고, 안전성 확보에 필요한 기술적․물리적․관리적 보호조치를 하고 있는지 여부

개인정보가 포함된 종이문서를 잠금장치 있는 안전한 장소에 보관하고 있는지 여부

보유기간의 경과, 개인정보의 목적달성 등 개인정보가 불필요하게 되었을 때에 종이문서에 포함된 개인정보를 즉시 파기하고 있는지 여부

개인정보(출력물 포함)는 물리적으로 파쇄하거나 소각하는 등의 방법으로 해당 개인정보를 완전히 파기하고 있는지 여부

개인정보가 포함된 종이문서의 파기에 관한 사항을 기록․관리하고 있는지 여부

개인정보가 포함된 종이문서의 파기개인정보 보호책임자의 책임하에 수행하고 있는지 여부

개인정보 보호책임자가 개인정보가 포함된 종이문서의 파기 결과를 확인하고 있는지 여부

⑧ 개인정보가 포함된 종이문서의 파기를 외부업체에 위탁하여 처리하는 경우, 법적 필수기재사항이 포함된 문서에 의하고 있는지 여부

파기 위탁시 위탁하는 업무의 내용 및 수탁자인터넷 홈페이지에 게재하는 등 공개하고 있는지 여부

⑩ 개인정보가 포함된 종이문서는 세단기등을 이용하여 잘 파기 하는지 여부

<참조: 금융감독원 개인정보보호TF,‘13. 8. 2.>

 

지금까지 사회복지시설에서 업무를 하면서 가장 기본적으로 알아야할 개인정보 업무처리에 대하여 간략하게나마 가이드형태로 알아 보았다. 이는 꼭 사회복지시설에만 해당되는 사항이라고 보지는 않는다. 일반적인 기업과 기관에서 모두 적용되는 사항이며 반드시 필수적으로 지켜야 하는 사항을 중점적으로 쉽게 적어 보았다.

 

사실, 한정된 지면에 개인정보보호에 대한 모든 것을 가이드하기에는 한계가 있다. 추가적인 내용이나 보충적인 내용은 안전행정부에서 ‘개인정보보호 전문강사단’ 운영하고 있다. 교육을 통하여 충분히 숙지하고 궁금한 점은 교육시 질의를 통하여 해소 하였으면 한다.

 


개인정보 유출이 반복적으로 일어남에 따라 각종 규제는 강화 될 것으로 생각되며, 이는 소극적인 대응방안에서 적극적인 대응으로 업무방식도 바뀌어야 한다. 개인정보 유출은 한번 일어나면 대량으로 유출된다. 이 상황에서 정보통신망법에서는 ‘14.11.29일 법정손해배상제도가 시행이 된다. 누구든지 개인정보유출로 인해 정신적 피해손해를 입었다고 생각하면 300만원 이하의 손해배상을 청구 할 수 있도록 하는 조항이다.

 

정부에서는 법정손해배상제도를 개인정보보호법까지 확대 시행한다는 것을 이미 발표하였다. 이제는 소극적인 대응으로 여러 가지 개인정보 분쟁에 휘말릴 경우 업무외적인 시간과 비용을 낭비하게 된다. 보다 철저히 준비하고 숙지하여 사회복지시설에서 제공하는 서비스의 신뢰도를 더욱 높일 수 있도록 해야 할 시점이다. 


* 본 고는 사회복지협의회 잡지에 기고된 글임을 밝힙니다. 아주 쉽게 쓰려고 노력하였습니다.  또한 지면의 한계로 인하여 가장 기초적인 내용만 언급하였습니다. 자세한 내용들은 블로그내 검색이나 개인정보보호 길라잡이 (http://cafe.naver.com/privacyguide) 를 참고 하시면 더 많은 개인정보보호에 대한 정보를 접하실 수 있습니다. 


 

신고
Posted by 엔시스





인터넷은 생활에 없어서는 안될 필수 요소가 되었다인터넷 편리함 뒤에는 역기능도 점점 증가하고 있지만 아직도 사용자들 보안수준은 낮기만 하다최근 금융감독원에서 발표한 보도자료에 따르면 ‘14년도 상반기중 피싱사기금액은 886억 원(1만 3천건)으로 전년 동기대비 87.7%(건수 34%)가 증가하였다.

 

또한최근 사기수법이 더욱 지능화 되어 피해가 확대되는 가운데 기술범죄에 대한 예방 대책이 강화 되면서 전통방식으로 회귀하고 있다고 발표하였다.

 

피해사례가 증가한다는 것은 아직도 피싱,파밍,스미싱등 각종 금융사기 기법이 진화 발전하고 있는데 일반 국민은 인지하지 못하고 있다는 반증이기도 하다따라서 이번 호에서는 금융사기에 대표적인 피싱,파밍스미싱에 대하여 알아보고 대응 방안도 살펴보도록 하자.

 

1. 피싱(Phishing)

 

피싱이란 개인정보(Private data)와 낚는다(Fishing)’의 합성어로전화·문자·메신저·가짜사이트 등 전기통신수단을 이용하여 피해자를 기망·공갈함으로써 이용자의 개인정보나 금융정보를 빼낸 후금품을 갈취하는 사기 수법을 말한다.

 

피싱 사기는 전화(보이스피싱뿐만 아니라 문자메신저인터넷 사이트 등 다양한 전기통신수단을 통해 이루어지고 있다.

 

피싱 사기를 당한 피해자는 피해구제절차를 통하여 은행 등에 지급정지를 요청하고 피해금을 환급받을 수 있다.

 

피싱에도 여러 가지 기법이 있다.  


구분

내용 

 보이스피싱

유선전화 발신번호를 수사기관 등으로 조작하여 해당기관을 사칭하면서 

자금을 편취하거나 자녀납치, 사고빙자 등 이용자 환경의 약점을 노려 

자금을 편위하는 수법 

 문자피싱

스마트폰 환경에서 신뢰도가 높은 공공기관 및 금융회사의 전화번호를 

도용하면서 정상 홈페이지와 유사한 URL로 접속토록 유도하여 개인정보나 

금융정보를 편위하는 수법 

 메신저피싱

SNS, 모바일(또는 PC) 기반 메신저 등 신규인터넷 서비스의 친구추가 

기능을 악용하여 친구나 지인의 계정으로 접속한 후 금전 차용 등을 

요구 하는 수법 

 피싱사이트

불특정 다수에게 문자, 이메일 등을 보내 정상 홈페이지와 유사한 

가짜 홈페이지로 접속을 유도하여 개인정보 및 금융정보를 편취하는 수법 

▲ 출처 방송통신위원회전기통신망에서의 이용자 피해 예방을 위한 전자금융사기(피싱방지 대책, 2012.10. 22면 참조

 

일반적으로 피싱이라고 하면 제 마지막에 언급한 피싱사이트를 말한다고 보면 된다이메링을 보낼때 가짜 홈페이지 링크 URL을 함께 첨부하여 가짜 홈페이지로 접속 하게 유도하는 금융사기 기법을 말한다.


▲ 정상사이트 (), 가짜 사이트 ()

 

좌측 홈페이지와 우측 홈페이지 구분되는 것을 혹시 알수 있는가우측에 빨간색으로 표시한 부분이 정상사이트와 틀린 점이다무엇보다 피해를 당하지 않는 것이 가장 안전한 방법이지만 피해시에는 아래 절차를 통하여 구제 받을 수 있다.


지급정지 및 피해금 환급 신청


피싱사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제 3조에 따라,


1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후

2. 해당 은행에 경찰이 발급한 사건사고 사실확인원을 제출하여 피해금 환급 신청을 하면된다.


※ 지금정지피해신고

경찰청 국번없이 112 / 해양경찰청 112

금융회사 콜센터


※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 1332


2. 파밍 (Pharming)

 

파밍(Pharming)은 피싱(Phishing)과 조작(Farming)의 합성어로악성프로그램에 감염된 PC를 조작하여 정상 사이트에 접속하더라도 가짜 사이트로 접속을 유도하여 금융거래정보를 빼낸 후 금전적인 피해를 입히는 사기 수법을 말한다.

 

                                    ▲ 파밍 사기기법 구성도              출처: 경찰청

 

위 그림을 보면 조금 어렵게 보일수 있는데 쉽게 설명하면 다음과 같다예를들어 자신이 ABC.com 사이트에 접속하고자 하는데 악성코드에 감염이 되었다면 브라우저에 ABC.com 이라고 정상적으로 입력했지만 ABC.com 사이트와 동일한 가짜 사이트 abc.com 사이트로 접속하게 끔 하는 금융사기 기법을 말한다이렇게하여 개인정보등 각종 정보를 탈취하는 것이다.

 

파밍(Pharming)의 유형

 

파밍에도 여러 가지 유형이 있다대표적인 유형을 살펴 보기로 하자.


 파밍유형

사기 수법 사례 

 가짜 은행사이트

악성프로그램에 감염된 피해자PC가 가짜 은행사이트로 접속, 

보안승급이 필요하다고 하면서 보아카드번호 전체 입력 유도 

 팝업창

악성프로그램에 감염된 피해자PC가 가짜 은행사이트로 접속, 

'OTP 무료 이벤트'팝업창이 뜨면서 계좌번호 및 보안카드번호 입력 요구 

 가짜 쇼핑몰 결제창

인터넷 쇼핑몰에서 옷을 구매하면서 실시간 계좌이체 선택, 결제를 위해 

'인터넷뱅킹;을 누르는 순간 악성프로그램에 감염된 피해자 PC가 

피싱사이트로 유도, 보안카드번호 전체 및 계좌비밀번호 등 입력 

 이메일 첨부파일

신용카드 회사 명의로 된 이메일 명세서를 받고 첨부파일을 열람, 

악성프로그램에 감염됨에 따라 주민번호와 보안카드번호 전부 입력 

 가짜 대법원 사이트

악성프로그램에 감염된 피해자PC가 가짜 대법원사이트로 접속, 

ⅰ) 계좌번호·보안카드번호 입력 요구, ⅱ) 납부화면에서 대법원이 

사용하지 않는 방식인 계좌이체방식 사용, 또는 ⅱ) 가상계좌 이용 시 

대법원이 지정하지 않는 예금주의 가상계좌로 납부 요구 

→ 정상적인 대법원 가상계좌 예금주

▲ 출처 경찰청 보도자료, “‘파밍(Pharming)’등 신종금융사기 주의!”, 2013. 6. 참조

 

                 ▲ 파밍에 의해 유도된 피싱사이트       출처: 경찰청

 

정상적인 주소를 입력하였지만 가짜 사이트로 접속하여 금융거래정보 입력화면이 나타나는 전형적인 형태를 말한다과도한 개인정보를 요구시에는 직접 은행에 문의해 보는 것이 좋다.

 

지급정지 및 피해금 환급 신청


파밍 사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제3조에 따라,


1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후 

2. 해당 은행에 경찰이 발급한 '사건사고 사실확인원'을 제출하여 피해금 환급 신청을 한다.


※ 지급정지 피해신고


경찰청 국번없이 112 / 해양경찰청 112

금융회사 콜센터


※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 1332


3. 스미싱(Smishing)

 

문자메시지(SMS)와 피싱(Phishing)의 합성어로,‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일청첩장’ 등을 내용으로 하는 문자메시지에 포함된 인터넷 주소를 클릭하면 악성프로그램이 스마트폰에 설치되어 피해자가 모르는 사이에 소액결제가 이루어지는 금융사기기법을 말한다최근에는 피해자 스마트폰에 저장된 주소록 연락처사진(주민등록증·보안카드 사본), 공인인증서개인정보 등까지 탈취하여 더 큰 금융범죄로 이어지고 있다.

 

▲ 최근 필자가 받은 스미싱 관련 문자

 

스미싱(Smishing) 주요 피해사례

 

1) 대출금리비교 앱(App)을 사칭하여 돈을 송금하도록 한 사례

 

피해자는 캐피탈을 사칭한 자로부터 스마트폰에 특정 앱(App)을 설치하면 본인의 신원 확인 및 대출이 가능하다는 내용의 전화를 받은 뒤 해당 프로그램을 설치하였고앱을 실행하자 여러 금융기관의 전화번호 목록이 확인되었으며피해자가 대출을 이용 중인 대부업체에 상환방법을 문의하고자 전화통화를 시도(앱상 통화연결기능)하였으나피해자가 설치한 앱은 통화연결시 자동으로 특정번호(사기범)에게 전화가 연결되었고 사기범이 알려준 상환계좌로 돈을 송금하여 피해를 입은 사례(미래창조과학부 등 보도자료, “·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

 

2) 돌잔치 초대문자를 사칭하여 휴대폰에 입력된 개인정보를 유출한 사례

 

동료로부터 돌잔치에 초대한다는 내용이 담긴 문자메세지 한통을 받고 문자메세지에 링크된 주소를 무심코 눌렀는데본인도 모르게 전화번호부에 등록된 지인 전체에 돌잔치 초대문자가 발송된 사례(미래창조과학부 등 보도자료, “·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

 

3) 모바일 메신저 계정을 도용해 지인들에게 돈을 송금해달라고 속여 금품을 가로챈 사례

 

동생으로부터 모바일 메신저를 통해 친구가 급하게 80만원을 보내달라고 한다송금해주면 내일 바로 입금하겠다는 메시지를 받고 동생에게 전화를 걸었으나이미 해당 스마트폰에는 악성프로그램이 설치되어 전화 수신이 차단된 상태였고 동생과 통화가 되지 않아 걱정이 됐던 피해자는 돈을 송금하여 사기피해를 입은 사례

 

휴대폰 소액결제 피해 구제 방법

 

※ 스미싱으로 의심되는 문자를 받았다면?

 

경찰청 사이버테러대응센터(www.ctrc.go.kr / 182)로 신고하고해당 이동통신사의 고객센터(114)에 소액결제서비스 차단을 신청하여 본인도 모르게 소액결제가 되지 않도록 해야 합니다.

※ 소액결제 피해가 발생했다면?

 

1. 피해사실 신고하기


 경찰서에서 발급받은 사건사고 사실확인원을 이동통신사게임사결제대행사 등 관련 사업자에게 제출하고 피해사실을 신고해야 한다.

 

2. 피해금 환불받기


 해당 결제대행사의 고객센터미래창조과학부 CS센터(www.epeople.go.kr / 1335) 또는 휴대전화/ARS결제 중재센터(www.spayment.org / 1644-2367) 등에 결제취소·환불 등을 적극적으로 요구해야 한다.

 

3. 악성파일 삭제하기


 스마트폰 내 다운로드’ 앱을 실행하여

① 문자를 클릭한 시점 이후에 확장자명이 ‘apk’인 파일 저장여부를 확인하고,

② 해당 ‘apk’파일을 삭제합니다.

 

4.악성파일이 삭제되지 않는 경우에는

① 휴대전화 서비스센터에 방문하거나 ② 스마트폰을 초기화해야 한다..

<출처 사이버경찰청정보마당경찰자료실신종금융범죄스미싱 참조>

 

무엇보다 스마트폰 사용자가 증가하고 있어 대응책 마련이 필요하다이에 금융감독원에서 소비자 유의사항을 발표 하였다살펴보면 아래와 같다.

 

□ 명절을 전후하여 대출사기나 할인 이벤트 또는 택배 등을 사칭한 보이스피싱이 기승을 부릴 것으로 예상되므로 각별한 주의가 요망됨

 

개인정보유출, 택배 확인범죄사건 연루 등의 명목으로 비밀번호 등 금융거래정보를 묻는 경우 절대 응하지 말 것


보안강화 등을 명목으로 인터넷 또는 스마트폰 화면상 보안카드 정보 일체의 입력을 요구 하는 경우 피싱사이트이니 유의할 것

 

대출이 가능하다면서 대출받기 전에 먼저 수수료 등의 명목으로 금전을 요구하는 경우 100% 대출사기이니 절대 응하지 말 것


통장이나 금카드를 다른 사람에게 양도하는 것은 범죄행위이며 형사처벌 또는 민사상 손해배상책임을 질 수 있음

 

금감원 보도자료를(2014.09.05, “보이스피싱 피해 다시 증가”) 보면서 안타까움을 금할길이 없다얼마전 TV에서 금융사기를 당한 한 아주머니가 평생 모아온 돈 5000만원 이상을 하루 아침에 빼앗기고 스스로 자책하는 모습을 보면서 혹시나 필자 주위의 이웃들에게 같은 상황이 일어나지 않을까 우려한 적이 있었다.

 

믿고 사는 건정하고 건강한 사회가 되어야 하는데개인정보 유출등으로 이제는 누구도 믿을수 없는 믿지 못하는 사회가 되어서는 안된다내 정보는 내가 지켜야 하고 금융사기로부터 안전하려면 소비자가 더욱 똑똑해지고 보안에 관심을 기울일 수밖에 없다이 글을 읽는 여러분들은 모두 금융사기로부터 안전한 대처를 하길 바란다.


* 본포스팅은 부산시 블로그 "쿨부산"에 기고한 내용임을 알려드립니다.


경성대학교 컴공과 외래교수

11.12.13.14년 안전행정부지정 개인정보보호 전문강사

ISMS/PIMS/PIPL 인증심사원

 




신고
Posted by 엔시스

 

 

 

 


 

개인정보보호법은 주로 개인정보 처리자입장에서 처리단계별 의무조치사항을 규정한 부분이 많다. 교육도 대부분 개인정보처리자의 주의사항이나 처벌등을 강조하고 있는 실정이다. 하지만 정보주체에 대한 권리가 법 제 5장에 규정 되어 있음에도 잘 알지 못해 이번 호에서는 정보주체 권리보장과 피해시 구제절차는 어떻게 되는지 알아보도록 하자.

 

개인정보자기결정권

 

넓은 의미에서 개인정보자기결정권이란 자신에 관한 정보를 보호 받기 위하여 자신에 관한 정보를 자율적으로 결정하고 관리할 수 있는 권리로 자기정보관리통제권이라고도 한다. 이러한 의미에서 개인정보자기결정권(자기정보관리통제권)에는 아래의 것들이 있다. 쉽게 설명하자면 자신에 관한 정보에 대한 보호권리를 가진다는 것이다.

 

 자신에 관한 정보를 함부로 침해당하지 않음(자기정보자율결정권 또는 자기정보 수집·분석·처리배제청구권)

자신에 관한 정보를 자유로이 열람(자기정보접근권·자기정보열람청구권)

자신에 관한 정보의 정정·사용중지·삭제 등을 요구가능

이러한 요구가 수용되지 않을 경우에 불복신청이나 손해배상을 청구가능 

 

개인정보열람,정정,삭제,처리정지

 


개인이면 누구나 개인정보처리자(기관이나 기업)에게 자신의 개인정보가 어떻게 이용되고 있는지 열람,정정, 삭제, 처리정지등의 권리 행사가 가능하다. 개인정보처리자는 정보주체가 열람을 요구하고자 할때는 열람을 해 주어야 한다. 열람 청구한다고 해서 모두 열람 가능한 것은 아니다. 10일 이내에 해야 하고,열람할 수 없는 정당한 사유가 있으면 그 사유를 알려야 한다. 소멸되면 지체없이 열람 하게 하여야 한다.열람 신청서 서식을 작성하여 개인정보 처리자에게 제출한다.

 

1. 개인정보 열람,정정권

 

- 개인정보 열람 : 개인인 정보주체는 누구 가능[법 제 35조, 38조]

- 열람기간 : 10일 이내

- 열람금지 : 법에 따라 열람금지나 신체 생명에 대한 우려나 재산상 이익을 부당하게 침해할 우려가 있는 경우

- 열람절차 : 열람신청서 작성하여 제출(시스템 구현이 안되어 있는 경우)


보통 홈페에지에 로그인 하면 회원의 [개인정보]란이 있어 비밀번호를 한번 더 입력하면 자신의 개인정보를 열람 또는 수정 가능하게 끔 시스템으로 구현해 놓은 것이 일반적이다. 따라서 주소가 변경되었다면 굳이 열람 수정 신청을 하지 않아도 해당 홈페이지에 로그인 하여 변경하면 된다.

 

2. 개인정보 정정, 삭제권


개인정보 삭제 요구도 가능하다. 개인정보처리자는 개인정보 삭제 요구시에는 특별한 규정이나 절차가 있는 경우는 제외하고는 지체없이 정정, 삭제 조치후 그 결과를 정보주체에게 알려야 한다.


- 개인정보정정, 삭제 : 개인인 정보주체는 누구나 가능[법 제 38조]

- 삭제 방법 : 개인정보 삭제 후 복구나 재생 되지 않도록 함

- 삭제 절차 : 삭제 하지 못할 경우나 삭제 처리 후 정보주체에게 결과 알려야 함

                개인정보 처리자는 조사가 필요할 경우 증거자료 제출 요구 가능함


3. 개인정보처리정지

 


정보주체는 자신의 개인정보처리에 대해 처리 중지를 요구 가능하다. 공공기관의 경우에는 안전행정부에 개인정보 파일을 등록해야 하는데 등록대상이 되는 개인정보 파일중 자신의 개인정보 처리를 중지 해 줄 것을 요구 가능한 권리를 개인정보처리 정지권 이라 한다. 내용과 절차는 법 제 36조와 대동소이 하다.

 

개인정보 유출이나 피해를 입었을 경우 구제절차는?

 

1. 한국인터넷침해신고센터 홈페이지나 국번없이 118로 신고

 

개인정보가 유출되어 피해를 입으면 한국인터넷진흥원 개인정보침해신고센터 홈페이지(www.kisa.or.kr

)나 전화(국번없이 118)등을 이용해 신고를 할 수 있다. 신고를 하면 상담원이 1차로 검토하고 내용의 분류에 따라 온라인 등을 통해 7(법령질의는 14) 이내에 답변을 준다.

 

2. 개인조정 분쟁조정 위원회 절차

 

신고가 접수되면 분쟁전에 분쟁조정위원회에서 검토 후 상대방에게 조정전 합의를 권고하고 원만히 해결 되도록 노력해 준다. 조절 절차는 아래 그림과 같다.



 개인정보 분쟁조정위원회 분쟁 조절 절차 출처: 개인정보보호위원회 홈페이지

 

조금 더 상세히 알아 보면 다음과 같다.

 

 사건접수 및 통보

개인정보피해로 인한 분쟁조정은 웹사이트, 우편, 팩스, 방문 등을 통해 신청인이 직접 또는 대리로 신청할 수 있으며, 개인정보침해 관련 상담 또는 신고사건 처리과정에서 신청할 수도 있다. 분쟁조정 신청사건이 접수되면, 신청자와 상대방에게 접수사실이 통보된다.

 

 사실확인 및 당사자 의견청취

사건담당자는 전화, 우편, 전자우편, 팩스 등 다양한 수단을 이용해 자료 수집을 통한 분쟁조정 사건에 대한 사실조사를 실시하고, 사실조사가 완료되면 이를 토대로 사실조사보고서를 작성하여 본 사건을 위원회에 회부한다.

 

 조정전 합의를 권고

개인정보분쟁조정위원회는 조정에 들어가기 앞서 당사자간의 자율적인 노력에 의해 원만히 분쟁이 해결될 수있도록 합의를 권고할 수 있으며, 합의권고에 의해 당사자간의 합의가 성립하면 사건이 종결된다.

 

 위원회의 조정절차 개시

조정 전 합의가 이루어지지 않으면 위원회를 통해 조정절차가 개시된다. 조정절차가 진행되면 당사자의 의견 청취, 증거수집, 전문가의 자문 등 필요한 절차를 거쳐 쌍방에게 합당한 조정안을 제시하고 이를 받아들일 것을 권고하며, 이 경우 사건의 신청자나 상대방은 위원회의 회의에 참석하여 자신의 의견을 개진할 수 있다. 조정절차가 진행되는 중에 원만한 합의가 이루어지는 등의 사유로 인해 더 이상 조정을 원하지 않을 경우 신청인은 조정신청을 철회할 수 있다.

 

 조정의 성립

개인정보분쟁조정위원회의 조정을 통하여 내려진 결정에 대하여 조정결정일부터 15일 이내에 신청인과 상대방이 이를 수락한 경우에는 조정이 성립된다. 당사자가 위원회의 조정안을 수락하고자 하는 경우 위원회가 송부한 조정서에 기명날인하여 위원회에 제출한다. 양 당사자가 모두 조정안을 수락하면 조정이 성립되어 조정서가 작성되고 조정절차가 종료된다. 당사자중 일방이 조정안을 수락하지 않을 경우 민사소송을 제기하거나 포기할 수 있다.

 

 효력의 발생

개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우 개인정보보호법 제47조 제5항의 규정에 따라 양 당사자간에는 조정서와 동일한 내용의 합의(재판상의 화해)가 성립한 것으로 본다.

 

3. 민사소송


 

보통 민사소송은 손해배상을 청구하기 위한 소송으로 단체로 대리인 변호사를 선임하여 진행하는 것이 일반적이다. 피해 보상금액을 산정하고 단체로 소송에 참가하기 때문에 소송에서 승소할 경우 전체 판결 금액도 상당히 크다. 최근 모 통신사의 경우 개인정보 유출로 인하여 28천명이 소송에 참여 하였다. 1심에서 1인당 10만원을 배상하라는 판결이 나왔다. 전체 금액은 28억에 이른다. 통신사는 항소하겠다는 의사를 밝혔다. 사실 개인정보 유출로 인하여 개인이 가지는 피해 잠재 가능성을 따진다면 아직도 과소평가 된 금액이라 생각한다. 그러나 개인정보처리자 입장에서는 상당한 금액이다.

 

민사소송은 소송기간이 길고, 1인당 보상 금액도 지금까지 판결을 보면 그리 크지 않아 소홀히 할 수 있지만 피해 당사자는 적극적인 참여를 하여 자신의 정당한 권리를 주장해야 한다.

 

지속적인 개인정보 유출로 인하여 정보주체는 많은 피해를 입었다. 너무 많은 유출의 학습효과로 인하여 자신의 정보에 대한 권리마저 포기 하는 경우가 많다. 때로는 알고도 포기하고 때로는 권리주장을 어떻게 하는지를 몰라 포기하는 경우도 많다. 개인정보보호법 제정으로 인하여 소중한 개인정보의 권리는 법에서 보장 되어 있기 때문에 당당하게 요구 가능하다.

 

한가지 필자가 현장을 둘러 보면서 우려스러운 것은 정보주체의 권리를 앞세워 가끔 악용하는 사람들이 있다. 개인 자신의 권리를 넘어서 끊임없이 협박이나 물질적 요구를 하면 안된다.

이제 소중한 자신의 정보는 자신이 지켜야 한다. 또한 자신의 정보가 소중한만큼 타인의 정보도 소중히 다룰줄 알아야 한다. 개인정보 유출로 인한 피해자 권리 자신이 찾도록 하자.

 

 

본 포스팅은 부산시에서 운영하는 부산시 블로그 "쿨부산"에도 기고 되었습니다.

 

 

 

신고
Posted by 엔시스



개인정보보호 교육 안내


공공기관과 민간기업은 개인정보 보호법 28조에 따라 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보 취급자에게 정기적으로 필요한 교육을 실시하여야 합니다.

 

교육은 사내(자체)교육, 사이버교육, 위탁교육, 외부강사 초빙 교육 등 해당 기관(기업) 상황을 고려하여 선택하시기 바랍니다.

 

그런데, 최근 개인정보보호 교육과 관련하여 일부에서 교육을 무료로 실시하여 준다 하며 기관(기업)을 방문하여 금융상품을 홍보하는 등 교육과 관련한 피해사례가 있으니 이에 대한 주의가 요구됩니다.

 

안전행정부는 각 기관(기업)에서 개인정보취급자의 개인정보보호 교육을 위해 사이버교육 운영하고 있으며, 각 기관(기업)에서 자체적으로 개인정보보호 교육을 수행할 수 있도록 개인정보보호 교육 및 홍보 자료를 공개제공하고 있습니다. 또한, 외부 강사를 초빙하여 교육을 진행 할 수 있도록 개인정보보호 전문강사단을 운영하고 있으니 이를 활용하여 개인정보보호 교육 실시하여 주시기 바랍니다.



                             ▲  출처:  개인정보보호포털 : privacy.go.kr 





원본 출처: http://www.privacy.go.kr/nns/ntc/selectBoardArticle.do?nttId=5751

관련 포스팅: 개인정보 교육 의무인가? 아닌가?  



신고
Posted by 엔시스




인터넷과 컴퓨터 기술의 발달로 점점 디지털화 되어가고 있다. 스마트폰 사용자 3000만 시대를 맞이하여 보안에 대한 이슈는 기업과 기관 중심에서 개인 사용자 중심으로 변화하고 있다. 그만큼 개인도 보안에 대한 인식의 변화가 필요한 시점이다. 20141월에 카드 3사 개인정보 유출로 인하여 온 나라를 분노케 하였다. 하지만 처벌은 벌금 600만 원이 고작이었다. 이에 개인정보보호법 개정이 이루어지고 점점 강화가 되고 있는 추세이다. 지난 8월 7일에는 주민번호수집법정주의에 따라 법적 근거가 없으면 이제 주민등록번호는 원칙적 수집 금지를 법으로 선언하였다.



이번 호에서는 개인정보를 보호하기 위한 법적 의무 조치 사항이 어떤 것이 있는지 알아 보고자 한다. 여기서 의무조치사항이란 법적으로 반드시 처리해야 하는 사항이기 때문에 위반시에는 처벌과 과태료가 있다는 것도 상기하자. 독자들의 쉽고 빠른 이해를 돕기 위하여 고민하다가 알파벳 PRIVACY 단어를 통하여 개인정보 법적 의무 조치 사항을 설명하고자 한다. 개인정보보호에 다소 궁금증이 해소 되길 기대해 본다.

 

1. P : Personal Information - 개인정보 용어정의 및 범위

 

현장을 다니면서 가장 많이 받은 질문 중에 개인정보의 개념에 대하여 질문하는 분들이 많았다. 개인정보 하면 마치 개인정보=주민등록번호 정도로만 알고 있는 분들이 많은데 그보다 확장된 개념으로 사용된다는 사실을 인지할 필요가 있다. 법에서 알아야 할 개인정보 관련 개념 몇 가지만 짚고 넘어가도록 하자.

 

"개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.” 고 명시하고 있다. 이는 간략하게 두 가지 정도로 나누어 알아보자.

 

첫째, 개인정보는 개인에 대한 정보이며, 법인에 대한 정보는 개인정보가 아니다. 또한 사망자에 대한 정보는 개인정보가 아니다. 살아 있는 자연인에 대한 정보다.

 

둘째, 누구인지를 특정하지 않아도 다른 정보와 결합하여 특정할 수 있으면 개인정보라고 본다. 무슨 말인지 이해가 가지 않을 것이다. 최근 판례 하나를 간단하게 예로 들어 본다.


판례

친목도모를 위한 일명 고스톱4명이서 치고 있었다. 그런데 이중 한 명이 경찰에 신고를 하게 되었다. 경찰은 즉시 출동하였지만 도박 수준은 아니라 훈방 조치하였다. 신고를 당한 나머지 3명은 누가 신고한지 궁금하여 경찰관에게 지속적으로 문의하였다. 경찰관은 처음엔 알려주지 않았지만 마침 신고자가 휴대폰 번호를 2개를 가지고 있어 그중 휴대폰번호 뒤 자리만 알려주었다. 하지만 휴대폰 번호 뒤 4자리만으로도 누가 신고한지 1명을 특정 할 수 있어 나머지 사람들이 항의를 하였다. 이에 특정 1명은 다시 경찰관을 개인정보보호법으로 고소한 사건이다. 판결은 휴대폰번호 뒤 자리도 누구인지를 특정 할 수 있으면 개인정보에 해당된다고 판결되어 경찰관에게 개인정보보호법 위반으로 징역6월에 집행유예1, 사회봉사명령 80시간 (대전지법 논산지원, 2013고단17)

 

개인정보를 이해하기 위해서는 다음 아래 몇 가지 용어에 대한 이해가 필요하다. 아주 간략하게 설명을 하겠다

 

. 개인정보

개인정보는 살아있는 개인에 관한 정보로 다른 정보와 결합하여 누구인지 특정할 수 있어도 개인정보로 볼 수 있다. 예를들어 휴대폰번호 + 주소 + 이름으로 결합하면 개인정보가 가능하다.


. 개인정보처리

개인정보 "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.


. 개인정보처리자

업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 보통 처리자라고 하면 개인을 지칭 하는 경우가 많은데 기관이나 법인을 보통 지칭한다


. 정보주체

처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.


. 개인정보파일

개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 여기에는 종이 문서도 개인정보 파일에 포함된다는 사실을 기억하길 바란다. 예를 들어 이력서 20장이 쌓여져 있다면 이것도 개인정보 파일로 본다.

 

. 영상정보처리기기

일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다. 흔히 우리가 말하는 폐쇄회로 (CCTV)라 보면 된다.


간단하게 개인정보보호법에서 자주 사용하는 용어 몇 가지를 알아 보았다. 각 용어마다 세부적인 내용이 더욱 많지만 초보자 눈높이에 맞추어 작성하다 보니 쉽고 짧게 설명하는 것을 이해 바란다


2. R: Relation Of Privacy - 개인정보 라이프 사이클

현장을 둘러보거나 교육을 위해 담당자를 만나보면 다음과 같이 이야기 하는 경우가 있다. “우리는 개인정보가 별로 없는데요.” “저희는 개인정보 취급하지 않아요과연 그럴까? 사람을 상대로 하는 모든 기업과 기관은 어쩔 수 없이 정보주체의 정보인 개인정보를 한 건이라도 취급 처리하게 된다. 결국 누군가와는 상대적인 관계성을 가질 수 밖에 없다는 것이다. 이에 개인정보보호법 제 15조부터 수집, 보관,이용,제공,파기순으로 살펴 보도록 하자.

 

개인정보보호 처리단계별 의무조치 사항중 가장 핵심적인 부분이다. 가능한 쉽게 설명할테니 개념만이라도 이해하길 바란다.

 

개인정보는 정보주체인 개인에 대한 정보를 동의 또는 법률에 근거하여 수집, 이용,보관, 파기를 하는 일련의 정보주체와 처리자간의 관계가 기반이 된다. 법의 취지는 가능한 최소한의 정보만 수집할 것을 권고하고 수집하더라도 법적인 사항을 준수해야 한다. 그 첫 번째 단계가 수집단계이다.

 

. 수집 


A. 개인정보 수집 가능한 경우

i. 정보주체의 동의

ii. 법률에 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

iii.공공기관이 법령등에서 정하는 소관업무의 수행을 위하여 불가피한 경우

iv정보주체와 계약 체결 및 이행을 위하여 불가피하게 필요한 경우

 

대표적인 개인정보 수집 가능한 경우이다. 이때 대부분은 정보주체에 대한 동의를 얻어 수집하는 경우가 가장 많이 이루어지는 형태이다


B. 정보주체동의시 고지사항

i. 수집목적, 수집항목, 보관기간, 거부시 불이익 

 

개인정보를 수집할 근거를 알고 동의를 받을때에는 반드시 정보주체에게 알려야 할 사항이다. 4가지를 법에서 명시하고 있는데 수집목적, 수집항목, 보유기간, 동의하지 않아도 되지만 그럴 때 어떤 불이익이(거부권에 대한 불이익) 있는지를 정보주체에게 알려야 한다.

 

   C. 법률에 근거,-주민번호 법정주의 (2014.08.07)


2013년 8월 6일 법률 개정이 공포가 되고 1년이 지난 2014년 8월 7일 시행이 되었다원칙적 주민등록번호 수집을 금지한다는 내용이다. 만약 수집시에는 법적 근거에 따라 수집할 수 있다는 내용을 골자로 한다. , 과거에는 정보주체 동의가 있으면 수집 가능했던 부분이 이제는 법에서 삭제가 되고 한층 강화가 되었다고 보면 된다정보주체 동의가 있어서 주민등록번호수집에 대해서는 법적 근거가 없다면 수집 할 수 없다는 것이 핵심이다.

   D. 별도동의 

   i. 고유식별정보주민번호여권번호운전자면허번호외국인등록번호

   ii.민감정보 사상,정치적 신념,노동조합,정당가입건강성생활

   iii.홍보,마케팅시

개인정보보호법에서 수집시에 중요한 두 가지 개념이 나오는데 잘 기억하길 바란다두 가지는 바로 고유식별정보민감정보라는 개념이다. 고유식별정보는 위에 언급한 것과 같이 가지를 말하고 있다. 민감정보도 위에 언급한 내용과 같다. 이렇게 고유식별정보와 민감정보를 수집시에는 반드시 별도동의

를 받아야 한다. 여기서 말하는 별도동의란 개인정보 수집목적과 별개로 분리된 동의를 말한다. 또한 홍보, 마케팅을 위한 개인정보 수집시에도 별도동의를 받아야 한다.


 E. 정보주체외로부터 수집한 개인정보 수집출처 고지 (20)


정보주체가 아닌 다른 곳에서 개인정보를 수집하였을 경우, 정보주체가 수집출처를 알고자 요구 할 때는 수집출처를 정보주체에게 알려야 한다. 보통 인터넷에 올린 개인정보를 이용하여 동의 없이 공개된 정보로 생각하고 이용하는 경우가 있는데 오용과 남용을 막기위한 장치이다. 그러니 스스로 개인정보를 공개하였더라도 언제든지 수집출처에 대한 요구를 할 수 있다


. 이용,제공


   A. 위탁 

    i. 위탁 사실을 개인정보처리방침에 공개

   B. 3자제공

    i. 별도동의

    ii.제공받는자, 수집목적, 수집항목, 보관기간, 동의불가 시 불이익


개인정보 적법한 절차에 따라 수집하였다면 그 수집목적내에서 이용이 가능하다이용부분에서 중요한 개념 2가지가 나오는데 위탁‘3자 제공개념이다. 쉽게 설명하면 위탁은 개인정보 취급자 책임 경계내에 있는 개인정보 업무면 위탁이고, 3제공은 개인정보취급자 책임 경계 밖의 개인정보 업무이면 3자 제공으로 보면 된다위탁은 업무효율화나 비용절감을 위해서 내부업무를 자체적으로 처리하지 않고 외부업체나 대리점,위탁점등에 아웃소싱하기 위해 개인정보 취급업무를 위탁하는 경우이고 3자 제공은 기업간의 제휴, 공동마케팅, 공동이벤트 등을 위해 개인정보를 이전하는 경우를 말한다.


정리하면 위탁은 내 업무처리를 위한 것이고, 3자 제공은 개인정보를 제공 받은자의 목적을 위한 것으로 이해하면 된다. 이제 이해가 되는가? 이 개념을 잘 숙지하지 못하면 실무에선 많은 혼란이 오게되니 꼭 숙지하도록 하자


   A. 목적 달성시 즉시파기

   B. 법률규정시 : 법률에 따라 보관 

    i. 전자상거래, 계약체결, 경력증명서: 3, 진료기록부: 10


수집목적에 따라 이용과 제공이 끝나면 보관 할 것인지 파기 할 것인지 고민해야 한다. 수집목적을 달성하면 즉시 파기 할 것을 법에서는 요구하고 있다. 무분별하게 보관하고 있다가 유출가능성으로부터 피해를 최소화 하기 위한 조치이다. 하지만 대부분 실무에서는 보관해야 할 경우가 많다. 이럴경우에는 보관을 해야 할 법적근거를 가지고 보관하면 된다. 이는 처음 개인정보 수집시에 보유기간에 명시한 근거로 보관한다.


. 파기


   A. 전자적파일 복구 불가능천공

   B. 종이 : 소각, 파쇄기




개인정보 목적달성하여 즉시 파기하거나 혹은 개인정보 보유기간이 만료되어 파기시에는 두가지 방법으로 파기를 한다. 먼저 전자적인 파일일 경우에는 저장이 되어 있는 하드디스크나 이동저장장치를 복구 불가능하게 파기 하여야 한다. 구멍을 내거나 전자파를 이용하여 아예 사용하지 못하도록 해야 한다. 보통 로우포멧 등을 하여 삭제 한후 파기 하였다고 하는 경우가 있는데 바람직하지 않다. 가장 좋은 방법은 물리적으로 파기 하는 것이 좋다. 두 번째는 종이의 경우 소각이나 파쇄기를 통하여 파기 처리 한다. 소량의 경우에는 파쇄기를 이용하지만 대량일 경우에는 최근 문서를 전문적으로 파쇄하는 업체도 있어 이용하면 대량의 문서도 파쇄가 가능하다


3. I : Inspection Request (열람청구) : 정보주체 권리보장, 개인정보자기결정권


개인정보보호법은 처리자 입장에서 대응해야할 여러 가지 사항들이 많다. 하지만 정보주체가 자신의 정보를 스스로 결정할 수 있는 개인정보 자기결정권이 법으로 보장되어 있다는 사실을 아는 이는 그다지 많지 않다. 보통 개인정보보호 교육도 개인정보 처리자 입장에서만 교육을 하다보니 정작, 자신의 개인정보를 스스로 어떻게 처리해 달라고 요구하는 권리에 대해서는 잘 모르는 경우가 많다. 법에서는 이러한 정보주체 권리보장도 강화하고 있는데 대표적인 것이 개인정보 열람,정정,삭제,정지 요구권이다


   가. 정보주체의 열람 요구 : 10일 이내, 열람제한이나 거절의 경우 그 사실을 주체에게 알리고

        열람을 제한 하거나 거절

   나. 개인정보 정정, 삭제요구 : 요구 시 10일 이내 조치  

   다. 개인정보 처리 정지요구 : 10일 이내 조치 , 처리 정지된 개인정보는 파기등 조 치 필요  

   라. 집단분쟁조정

   마. 단체소송


자신의 개인정보에 대하여 개인정보 처리자에게 열람을 요구 할 수 있다. 법정서식를 통하여 가능하다. 또한 자신의 개인정보를 정정, 삭제를 요구할 수 있다. 두 경우 모두 요구사항이 있으면 10일 이내에 조치를 하도록 되어 있다. 이는 대부분 홈페이지 회원의 경우 자신의 아이디로 로그인하여 스스로 개인정보를 열람,수정 할 수 있도록 시스템으로 해결 하고 있다. 삭제의 경우는 회원 탈퇴를 하게 되면 개인정보처리자는 삭제조치가 되도록 한다. 일련의 조치가 대부분 홈페이지내에서 이루어지도록 하는 경우가 있지만 개인정보 관련 법정 서식을 이용하여 오프라인으로도 요구가 가능하.


법에서는 정보주체권리보장 중에 이해관계로 인한 충돌이 발생하였을 경우 2가지로 처리하도록 되어 있다. 하나는 집단분쟁조정이고 다른 하나는 단체소송이다. 집단분쟁조정의 경우 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로 분쟁조정위에 의뢰 또는 신청할 수 있다. 효력은 재판상 화해와 같고 조정이 성립되면 다시 소송을 제기 할 수 없다.


단체소송은 집단분재조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권리 침해행위의 금지.중지를 구하는 소송을 제기 할 수 있다. 손해배상 소송과 차이점을 숙지하길 바란다. 흔히 개인정보 유출시 손해배상 단체소송을 하는데 이는 민사소송이다. 법에서 말하는 단체소송은 권리침해행위의 금지.중지하는 소송이다. 혼동 하면 안된다.


4. V : Vulnerable Check -취약점 점검으로 기술적 조치 다해야 함


보통 개인정보처리 업무를 진행하다보면 관리적 부분에 많은 집중을 하게 마련이다. 법도 15조부터 수집동의서부터 파기까지 개인정보 라이프사이클에 따라 명시를 하고 있다. 하지만 관리적 절차에만 신경을 쓰다보면 자칫 기술적조치에 소홀히 할 수 있다. 정부에서는 이런기술적 조치 부분을 고시에 자세히 규정을 해 놓았다. 개인정보보호법에서는 개인정보 기술적,관리적 안정성 확보조치 기준고시로 명시가 되어 있다. 최근에는 고시도 개정이 된 바 있으니 관련자분들은 세심하게 살펴 보길 바란다. 그 세부내용을 살펴보면 다음과 같다.


기술적 취약성 점검으로 인한 안전성 확보조치 고시 기준 마련


   가내부관리계획 (3) : 개인정보보호에 대한 내부관리계획 수립추진전략

   나접근권한관리(4): 업무수행에 대한 권한 차등부여기록3년간 보관

   다접근통제(5) : 접근통제에 대한 명시

   라개인정보 암호화 (6): 개인정보 암호와 의무화 규정에 따라 명시고유식별정보, 비밀번호, 바이오정보전송시저장시 (34의무화)

   마접속기록보관 및 점검(7) : 최소6개월

   바악성 프로그램등 방지 (8): 백신 보안프로그램윈도우 업데이트

   사물리적접근 방지 (9): 물리적 보관장소 출입통제

   아개인정보의 파기 (10): 개인정보 파기소각디가우징


기술적 조치사항은 세부적으로 또 들어가면 복잡해지기 때문에 본 포스팅에서는 간략한 리스트만 나열하기로 한다. 또 다른 기회가 주어진다면 기술적 조치에 대하여 세부적으로 자세히 알아 보기로 하자.


5. A: Action plan of privacy


개인정보보호를 위한 기본적으로 해야 할 대응처리 개인정보 라이프사이클(Life-cycle)외에 법에 규정한 기본적으로 대응해야 할 대표적인 사항이다. 간략하게 핵심만 설명하겠다.


   가개인정보처리방침 수립 공개 (6 -10개 )

   나. 개인정보책임자 지정

   다. 개인정보파일 등록

   라. 개인정보영향평가

   마. 개인정보 유출통지 유출된 항목, 시점, 경위, 피해최소화 및 대응절차, 피해 발생시 신고

        접수할 수 있는 부서 및 연락처


개인정보처리자는 홈페이지 제일 하단에 볼드체로 눈에 띄기 쉽게 개인정보처리방침혹은 취급방침을 수립후 공개를 해야 한다. 정보주체가 자신의 개인정보가 어떻게 처리 되는지 쉽게 파악 할 수 있는 좋은 수단이다. 하지만 현장을 둘러보면 아직도 형식적인 부분이 많아 현행화 해야 하는 부분이 아쉽다. 예를들면 , 위탁이나 3자 제공시 공개 하도록 되어 있는데 무조건 위탁이나 3자 제공은 없다고 해 놓은 경우가 있다. 사실 이는 개인정보 업무중에 위탁업무가 있는지 없는지 제대로 파악이 되지 않음을 반증하고 있는 것이다.


법에서는 개인정보 책임자를 반드시 지정하게끔 되어 있고, 이는 개인정보취급방침에 공개하고록 되어 있다. 그런데 이부분도 형식적인 부분이 많고, 개인정보 유출시 가장 책임이 막중하다는 것을 인지해야 한다. 책임자가 소홀히 해서는 안되는 부분중에 하나다. 경영자나 의사결정자의 인식전환이 가장 필요한 대목이다.


공공기관의 경우 개인정보 파일을 현황 파악하여 안전행정부에 등록을 해야 한다. 민간의 경우에는 의무사항은 아니지만 조직 내 개인정보 파일이 몇 개가 있는지 현황 파악이 되어 있어야 관리가 된다. 현황파악이 되지 않는다는 것은 관리가 되지 않고 있다는 것과 동일하다. 교육시 필자가 가장 많이 질문하는 것중에 하나이다. “담당자님, 혹시 조직내 개인정보 파일은 몇 개인가요? 혹시 누락되거나 불필요한 개인정보가 등록된 것은 아닌가요?” 라고 질문하면 쿨하게 답변하는 분이 그리 많지 않다. 자신도 조직내 개인정보 파일이 정확이 정의되어 분류되지 않았기 때문이다.


개인정보 영향평가는 쉽게 설명하면 개인정보를 취급,처리함에 있어 어떤 영향을 끼치는가에 대한 사전 평가제도이다. 공공기관은 해당조건에 부합이 되면 의무적으로 영향평가기관에 의하여 받아야 한다. 민간기관은 권고사항이다. 물론 민간도 영향평가를 받아도 된다. 개인정보영향평가를 받게 되면 조직내 개인정보 흐름에 대한 모든 현황을 파악할 수 있게 된다.


개인정보 유출 되었을시에는 정보주체에게 통지를 해야 한다. 또한 1만 명 이상일 경우 안전행정부와 한국정보화 진흥원, 한국인터넷진흥원에 신고를 해야 한다. 유출후에는 피해를 최소화 하기 위한 대응책 마련도 진행되어야 한다. 하지만 현실은 조직내 개인정보가 유출되어도 담당자가 모르고 있는 경우가 많으며 전문기관에서 유출에 따른 조치사항을 공문을 받고 아는 경우도 있다. 평소에 신경을 써야 하고 유출시 대응 매뉴얼도 구비해야 신속한 조치를 취할 수 있다.


6. C : Closed-circuit television - CCTV도 개인정보보호에 보호 받을 수 있어.



개인정보보호법에 영상정보처리기기 포함이 되며, 네트워크카메라도 포함 개인정보보호법에는 영상정보처리기기도 포함이 된다. 폐쇄회로텔레비젼 일명 ‘CCTV'. 개인의 사생활이 녹화되어 있는 영상이기 때문에 법에 근거한 것 외에는 설치,저장할 수 없도록 한 것이다


   . 공공기관 + 민간기관

   나법적 설치 기준 마련

 A. 법령에 구체적으로 허용한 경우

 B. 범죄예방 및 수사

 C. 교통단속

 D. 화재예방시설안전

 E. 교통정보 수집 및 분석

 다안내판설치 


CCTV는 불특정 다수인이 이용하는 도로나 공원등에 상기 5가지 외에는 설치 할 수 없도록 규제

하고 있 일상생활에서 CCTV에 많이 노출이 되어 있기 때문에 이에 대한 법적 규정도 엄격하

게 적용이 되고 있다. 또한 CCTV 설치시에는 반드시 규정된 안내판을 설치하여 정보주체로 하여

금 어떠한 목적과 촬영주체가 누구이고 촬영시간은 얼마인지를 안내하는 안내판이다. 일반적으

‘CCTV 촬영 중이라는 문구만 부착하는 경우가 있다. 이는법 위반이다. 해당 규정을 지키지 

않을 경우 1000만 원 이하의 과태료부과가 규정되어 있다.


7. Y: Year-round : 연중계속되는 , 체계적인관리


개인정보보호법에 규정하는 개인정보처리 단계별 조치사항과 그 외 법적 의무사항들은 준수

해 만 한. 이러한 법적준수사항을 지키려면 기존 관행처럼 주먹구구식으로 관리해서는 일회성 

관리 밖에 될수 없. 이는 또 다른 개인정보 유출로 이어지게 된다. 이러한 부분을 제도적으로 

마련한 것이 바로 개인정보보호 관리체계인증하는 제도이다.


 가. PIMS

 나. PIPL 


PIMS는 정보통신망법에 근간을 두고 적용하는 제도이고, PIPL개인정보보호법을 근간으

로 하여 리체계를 수립하여 인증 받는 제도이다. 정보주체에 대한 개인정보를 체계적으로 관리

함으로써 유출에 대한 사전 예방을 강화 할 수 있는 효과를 가져 온다. 혹자는 이 관리체계만 인

증 받으면 모든 것이 완벽한 것으로 오해 할 수 있는데 이는 개인정보를 관리하기 위한 최소한의

관리체계라는 점을 잊지 말아야 한다. 물론 인증시에는 각종 인센티브도 부여를 하고 있다. 하지

만 아직도 컨설팅 비용과 인력부족등으로 중요성을 느끼지만 도입이 안되고 있는 현실이다.


지금까지 개인정보보호에 대하여 간략하게 'PRIVACY'라는 알파벳을 이용하여 살펴 보았다.

그동안 안전행정부지정 개인정보보호전문 강사로 위촉이 되어 200여 공공기관을 다니면서 교육

을 하다보니 '조금 더 쉽고 기억하기 쉽게 전달하는 방법을 없을까?'를 고민하다가 나름대로 만

들어 보았.


부산시민들이 자주 보는 쿨부산 포스팅을 통하여 처음 소개하는 만큼 최소한 PRIVACY 방법론만

큼이라도 숙지한다면 개인정보처리자 입장에서나 정보주체의 입장에서 개인정보 자기결정권 권

리보장 측면서 이해 할 수 있지 않을까 싶다. 나름 쉽게 설명하려고 노력하였는데 독자 여러분

들은 어떻게 느꼈을지 모르겠다. 지면 관계상 더 자세히 다루지 못함을 너그럽게 양해 해 주길 바

란다. 다음 호에는 인정보 피해시 구제할 수 있는 방법에 대하여 알아 보도록 하겠다.


* 본 포스팅은 부산시에서 운영하는 블로그 "쿨부산"에 기고한 글임을 알려 드립니다.


신고
Posted by 엔시스




첨부 파일 : 다운로드 





신고
Posted by 엔시스

개인정보보호법 의무교육에 대하여 여러가지 궁금한 분들이 많은 듯 합니다.. 개인정보가 사회적 이슈가 되다보니 법적인 부분에 대하여 각기업이나 기관 담당자분들이 관심을 가질수 밖에 없는데 이를 강압적인 형태로 마케팅 하는 교육기관등이 있나 봅니다..지금까지 제 경험에 비추어 속시원히 알아 보도록 하겠습니다.  -편집자 주





개인정보 처리자 입장에서 개인정보보호 담당자는 취급자가 조금이라도 개인정보에 대한 개념 인식에서부터 , 업무시 개인정보 '처리'에 대한 업무를 잘 해 주었으면 하는 바램에서 교육에 관심을 가질 수 밖에 없지요. 그러나 대부분이 그렇듯이 법적 근거 기준이 있어서 의무 사항이 아니면 하지 않는 경우가 대부분입니다. 이는 현장을 다녀보면서 느낀바로는 두가지 요인이 있습니다.


1. 법적 근거가 없으면 집체 교육 힘들어


법적 의무 교육이 아니거나 근거 미비의 경우 대부분 집체 교육을 하기 어렵습니다. 그 이유는 집체교육은 직장인 교육의 일환으로 하거나 한꺼번에 임직원을 모집해야 하는 어려움 때문입니다. 기관이나 기업내에 중요한 이슈가 있었을땐 교육은 우선순위에서 밀리는 경우가 대부분입니다. 긴급 이슈사안에 대하여 처리하기위한 업무도 바쁜데 교육을 위한 시간을 따로 할당해야 하기 때문입니다. 하지만 법적인 근거가 제시되면 명분을 제시할 수 있어 담당자의 교육 업무 추진이 수훨합니다. 역으로 생각하면 법적 근거기준이 없으면 집체교육은 어렵다는 이야기 입니다. 이는 온라인 개별 교육은 더 힘들다는 것을 반증하기도 합니다.


2. 담당부서의 업무인데 왜 집체 교육을 통하여 전달 하려하는가?


개인정보 교육의 경우 대부분 취급자가 자신은 개인정보 담당자가 아니라는 생각을 하고 있습니다. 개인정보보호법 제2조에   2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다."   고 명시하고 있습니다. 아마도 기관이나 기업에서 개인정보 '취급' , '처리'를 하지 않은 취급자가 과연 몇명이나 있을까요? 대부분 자신이 개인정보 관련 업무처리를 하고 있지만 이는 '개인정보 담당자' 업무로 착각하고 있기 때문이죠. 그러니 바쁜 시간에 왜 자신의 업무를 전 임직원들 대상으로 전달 할려고 하는가에 대한 반감 때문에 애로 사항이 있습니다.  "메일공지나 회람을 통해서도 가능할텐데 ......, " 라는 불만 때문이지요. 그런데 어디 메일이나 회람으로 '개인정보보호법'을 모두 이해 할 수 있다면 법적 의무적인 교육을 할 필요가 없겠지요..개인정보 업무가 쉬워보이지만 공부해야 할 것과 해야할 업무가 굉장히 많다는 사실입니다. 


이 두가지 이유 때문에 개인정보 교육은 진행하기 애로사항이 있다고 담당자들은 토로 합니다. 그럼 과연 개인정보보호에 대한 교육을 법적으로 해야 될까요? 말아야 할까요? 알아보도록 하겠습니다.



개인정보보호 교육  과연 법적 의무교육인가? 아닌가?


지난 8/7일 주민등록번호 수집 법정주의가 시행이 되었습니다. 또한 개정된 개인정보보호법이 지난 3/24일 시행이 되고 있기 때문에 많은 분들이 관심을 가질 수 밖에 없습니다. 또한 법이라는 것은 자주 개정되는 특성이 있어 꾸준히 관심을 가지고 있지 않으면 , 놓칠수 있는 부분이 있어 만약 개인정보 유출시에는 상당한 타격을 입게 됩니다. 이것이 컴플라이언스( 법 준수성)에 관심을 가질 수 밖에 없는 이유가 되죠.


개인정보보호 전문 카페를 통한 8월 한달간 N포털 키워드 유입을 통해 알아 보겠습니다.

안전행정부 개인정보보호 전문강사로 위촉이 되어 있다보니 집체 교육후에 질문이 많습니다. 메일로 , 전화로 일일이 답변 드리지 못해 운영하고 있는 커뮤니티입니다. 개인정보 관련 내용만 다루고 있습니다. 

 

그러던중 아래 그림과 같이 키워드에서 <개인정보보호법 의무교육>  키워드로 많이 검색하는 것 같아 블로그에 포스팅 하게 된 것입니다..



                   ▲  8월 한달간 N포털 개인정보보호 관련 검색유입된 키워드 순위


눈에 띄는 것이 바로 '개인정보보호법 의무교육' 에 대한 부분입니다...그 궁금증을 해소하기 위하여 알아 보았습니다. 우선 대표적인 개인정보보호법과 정보통신망법에 각각 알아보면 다음과 같습니다. 


1. 개인정보보호법


 ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리·감독을 행하여야 한다.

② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.




개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적(1회 이상)으로 필요한 교육을 실시하여야 한다. 교육은 사내교육, 외부교육, 위탁교육 등 여러 종류가 있을 수 있으나 연간 교육계획을 수립하여 모든 개인정보취급자가 일정 시간 이상 교육에 참여하도록 해야 한다. 또한 개인정보취급자의 지위,직책, 담당 업무의 내용, 업무 숙련도 등에 따라 교육 내용도 각기 달라져야 한다.(개인정보 보호법령 및 지침 고시 해설- 안전행정부)




2. 정보통신망법


"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 "개인정보의 기술적, 관리적 보호조치 기준" 제3조(내부관리계획의 수립․시행)

② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다.

1. 교육목적 및 대상

2. 교육 내용

3. 교육 일정 및 방법


개인정보보호 교육의 목적은 정보통신서비스 제공자 등의 사업장 내의 개인정보취급자에게 개인정보보호에 대한 인식을 제고시키고 개인정보보호 대책의 필요성을 이해시키는 것이다. 구현된 기술적, 관리적 보호조치 기준에 대한 정확한 교육 및 훈련 프로그램을 수립하여 이행하여야 한다.

개인정보관리책임자 및 개인정보취급자를 대상으로 매년 정기적으로 2회 이상의 개인정보보호 교육을 실시하여야 한다. 특히, 개인정보취급자가 고객의 개인정보를 훼손, 침해, 누설할 경우에는 중벌에 처해지므로, 교육 시 이러한 점을 개인정보취급자에게 인식시키기 위해 노력해야 한다.




다음은 개인정보보호 교육에 관련된 Q & A 입니다. 잘 살펴 보시고 대응하시면 되겠습니다.



 개인정보 교육의 경우 5인 미만인 소상공인 경우 실시 하지 않아도 되나요? 

 ☞ 아닙니다. 개인정보보호 교육은 직원수와 관계없이 개인정보 수집 , 활용, 처리등 일련의 행위를 하는 모든 곳에서는 필히 실시 하여야 합니다.



 개인정보 교육은 전직원을 대상으로 교육을 진행 하여야 하나요?

 ☞ 개인정보 교육은 개인정보 이용 및 활용등을 실질적으로 취급하는 취급자 대상으로 진행 하시면 됩니다. 그러나 대부분 집체교육등으로 임직원 전체 하는 경우가 많으며, 취급자, 책임자를 구별하여 맞춤형 교육으로도 많이 진행이 됩니다. 조직에서 개인정보 처리업무를 하지 않는 분은 없기 때문입니다. 이유는 포스팅 본문에 '처리' 용어정의를 참고 바랍니다.



개인정보 교육은 1년에 몇회 정도 진행해야 하나요? 

 ☞ '개인정보보호법'이 적용되는 사업장이나 기관의 경우 1년에 1회 이상, '정보통신이용촉진 및 정보보호등에 관한법률' 이 적용되는 사업장에서는 1년에 2회 이상 실시 하여야 합니다.


▲ 개인정보보호법 준수 사업장 : 개인정보를 취급하는 모든 사업장

  정보통신망법 준수 사업장 : 정보통신망을 통해 개인정보 송수신이 이루어지는 사업장 (포털,쇼핑몰등)



개인정보 교육 이수 방법에는 어떤 것들이 있나요? 

 ☞ 안전행정부 개인정보보호 전문 강사 초빙 의뢰 

     사업장내 개인정보 지식이 있는 자를 통한 교육 (자료는 privacy.go.kr 이나 i-privacy.kr 등에서 자료 활용

     온라인 교육 : privacy.go.kr 사이트나 i-privacy.kr 사이트에서 온라인 교육



개인정보 교육 미실시로 인한 과태료는 없나요? 

  ☞ 현재 시행중인 법상으로는 개인정보 교육 미실시로 인한 과태로나 벌칙은 없습니다. 하지만 개인정보 유출사고의 대부분이 교육이 제대로 이루어지지 않아 개인정보 소홀로 사고가 발생하고 있어 사전 예방이 필요합니다. 또한, 개인정보 유출시 안전조치 소홀로 인한 문제가 제기 될 수 있습니다.

 

 

 

개인정보보호 미 교육시 처벌 규정이 없다고 소홀히 하였을 경우, 만약 유출시에는 그에 따르는 책임을 묻는 것은 당연하겠지요. 여러가지 개인정보 실태점검이나 수준진단 점검, 그리고 인증심사시에 반드시 이러한 사항들이 포함된 것을 보더라도 형식적인 교육으로 전락해서는 안될 것입니다.  법적인 근거가 있으니 반드시 교육을 실시하는 것이 유출에 대비하여 좋겠지요..

 

대신 개인정보 교육은 자체교육, 온라인 교육, 외부 전문가초빙등의 다양한 방법이 있으니 잘 참고하시고 , 개인정보 유출에 만전을 기할 수 있도록 해야 겠습니다. 너무 강요에 의한 마케팅과 결합한 교육은 바람직 하지 않다고 생각합니다.  정말 중요한 것은 조직내 개인정보가 유출시 어떻게 대처하고 어떠한 처벌이 있으며, 각 구성원이 인지하고 행동으로 실천하기 위한 방법을 직접 교육을 통하여 전달 하는 것이 목적이기 때문입니다.

 

포털 검색하다가 일부 교육기관에서 교육을 하지 않으면 처벌된다는 식의 강압적인 권유의 글이 많이 보여 참고 차원에서 한번 포스팅 해 보았습니다.  보다 자세한 내용은 개인정보보호 전문 카페 (개인정보 업무와 피해구제,교육등의 정보를 공유하는 카페) 를 참고 하시면 되겠습니다. 감사합니다.  @엔시스.

 

포스팅 참조한 보안뉴스기사 : http://www.boannews.com/media/view.asp?idx=43032&kind=2&search=title&find=%C0%C7%B9%AB%B1%B3%C0%B0

 

11,12,13,14 안정행정부 지정  개인정보보호전문강사

ISMS,PIMS.PIPL 인증심사원

경성대학교 컴퓨터 공학과 외래교수

 

 

 



신고
Posted by 엔시스


2011년 9월30일 개인정보보호법이 시행이 되었고, 개인정보 안전성 확보조치 기준이 고시되어 그동안 시행이 되어 왔다. 최근 개정 개인정보의 안전성 확보 조치기준 고시안이 공개되었는데 어떻게 개정이 되었는지 미리 살펴 보기로 하자.  -편집자 주




기존 개인정보의 안전성 확보조치 기준

[시행 2011.9.30] [행정안전부고시 제2011-43호, 2011.9.30, 제정]



                                           개인정보의 안전성 확보조치 기준.pdf









개정되는 개인정보의 안전성확보조치 기준 고시(안)에 대한 내용을 안행부 홈페이지에 공개된 문서를 기준으로 살펴보고 그 의미를 짚어 보기로 하자. 



개정(안)  개인정보의 안전성확보조치 기준 고시안 



                                  개인정보의_안전성_확보조치_기준_고시_개정(안).hwp




1. 주요내용 : 안전행정부 홈페이지에 공개한 내용을 참조 해 보자.



「개인정보의 안전성 확보조치 기준(고시)」 개정(안) 행정예고


1. 개정이유

   주민번호 처리 제한, 스마트기기로의 업무 환경 변화와 신규 위협에 대한 보호조치를 개인정보의 안전성 확보조치 기준에 반영·개정하여 고시하고자 함


2. 주요내용

  ○ 보안이 미흡한 모바일 단말기 및 통신망에 대한 보호조치
    - 비인가 된 App의 설치·운영에 대한 기술·관리적 통제(안 제5조)
    - 공용 WiFi 및 비암호화 등 보안설정이 미흡한 네트워크 접속 제한(안 제5조)

  ○ 카드사 개인정보 유출사고 등 최신 보안위협 대비 보호조치
    - 주민번호 처리 관련 이중 인증절차 및 웹취약점 점검 의무화(안 제5조)
    - 개인정보 처리 접속기록 및 위탁에 대한 관리·감독 강화(안 제7조)
    - 개인정보 파기 방법 등의 세부 규정 마련을 통한 기준의 현실화    (안 제10조) 


출처: http://www.mospa.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000017&nttId=42558

 



2. 기존 고시안에서 달라진 사항 [각주:1]


2.1  제2조 용어의 정의 부분 






개정(안):  P2P, 공유설정등의 용어가 삭제되고, 최신 트렌드를 반영한 "모바일 기기"의 용어가 추가 되었다. 




엔시스생각: 모바일이 대중화 되고, 모바일 디바이스기기로 인한 보안의 위협과 개인정보 유,노출의 위협을 반영하기 위한 조치라 생각이 든다.



▲ 시대적 트렌드를 반영한 '모바일기기' 고시안에 반영조치





2.2  제3조 (내부관리계획의 수립.시행)


현장을 둘러보면 내부관리계획 수립이 제대로 수립되지 않는 곳이 많다. 그리고 인터넷에 공개되어 있는 샘플을 그대로 사용하고 개인정보처리자명에만 해당 기관이나 기업체명으로 수정하여 사용하고 있는 경우가 대부분이었다. 그것은 말 그대로 샘플일 뿐이며 중요한 것은 내부관리계획 수립을 조직이나 기관에 맞게 제대로 구체적으로 적용을 해야 한다. 그 사항은 고시기준에 명시 되어 있다. 





이번 개정(안)에는 ' 5. 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항'이 추가되었다. 



엔시스생각:  법률에서 위탁자가 업무를 위탁했을때 수탁자는 위탁자의 소속직원으로 본다 (법 제26조3항6호)는 규정이 있다. 하지만 개인정보의 안전성을 도모하기 위해서는 구체적인 고시기준에 '수탁자에 대한 관리감독을 강화' 하려는 의도가 엿보인다. 즉, 수탁자에 대한 관리감독을 내부관리계획에 수립을 하여 보다 적극적이고 구체적으로 명시한 부분으로 생각된다.



▲  내부관리계획을 구체성과 수탁자 관리 감독에 대한 강화. 





2.4  제4조 (접근권한관리)





개정(안): 기존 고시 제5조에 '비밀번호관리' 부분을 삭제처리하고 개정(안)에는 제4조의 세부 항목으로 배치 시켰네요..


엔시스생각: 비밀번호에 대한 관리를 조항보다는 접근권한관리의 세부 항목으로 배치 하였군요. 비밀번호의 중요성이 낮아졌다라기 보다는 고시의 각 조항별 깊이(depth)을 조절 하기 위한 조치로 보여진다.


▲ 비밀번호에 대한 고시 조문 정리, 항목으로 배치





2.5 제5조 (접근통제)


용어의 정의에서 '모바일'이 포함된 만큼 다양한 모바일 위협에 대한 대응솔루션과 조치 사항이 다루어질 것으로 예상이 된다.


개정(안):  4항에 '모바일기기'가 추가로 포함이 되었으며, 5항,6항,7항이 추가 되었다. 





 엔시스생각: 7항으로 모바일 MDM 마켓의 수요가 커질 것으로 예상이 된다. 또한 모의해킹 및 취약성 점검이 연 1회 이상 의무화 되었다. 기존에 '정보통신기반시설'에 대한 취약성 점검은 반드시 해야 하지만 이제는 개인정보 안전성 확보조치를 위해서도 취약성 점검을 해야 한다.  모의해킹에 관심 있는 사람들은 많은 실력을 키워 놓으면 좋겠다.  보안도 어쩔수 없이 시대적 흐름으로 가야 하고, 제도도 시대적 흐름을 반영하는 것이 맞다라고 본다.


▲ MDM 마켓 확대, 모의해킹 및 취약성 점검 수요증가




2.6  제6조 (개인정보의 암호화)


개정(안): 8항에 '모바일기기'가 추가 된 사항외에는 변동 사항이 없다. 




엔시스생각: 암호화에 대한 부분은 개인정보보호에서 가장 뜨거운 이슈중에 하나이다. 그러나 이번 고시안에서는 8항에 모바일 기기에 대한 용어만 추가 되었을뿐 수정된 사항이 없다. 최근 '주민번호 암호 의무화' 에 대한 법률이 개정되기도 하였다.  하지만 시행일이 2016.1.1로 명시하고 있어 고시안을 그대로 둔 것으로 사료 된다.  


제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.

1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우

개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실·도난·유출·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.  <신설 2014.3.24. >

③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.  <개정 2014.3.24. >

④ 안전행정부장관은 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련·지원할 수 있다.  <개정 2014.3.24. >

[본조신설 2013.8.6. ]
[시행일 : 2016.1.1] 제24조의2




법 개정에 대한 취지 : 기존 고시안에 보면 내부정보나 위험도 분석을 통하여 주민번호 암호화 조치에 대한 사항이 의무적이 아니었다. 즉, 내부정보나 위험도 분석 26개를 충족하면 암호화 조치를 하지 않아도 되었다는 것이다. 그러다 보니 이를 암호화를 하지 않아도 되는 합리성 추구의 도구로 이용되었다. 그럼에도 불구하고 유출되면 암호화 조치도 되지 않아 더 큰 피해를 가져 오기 때문에 고시 수준의 암호화 조치사항을 상위법인 법률에 의무화로 법률 개정이 된 것이다.


엔시스생각:  (2016.1.1)까지 유예기간으로 준 것으로 생각된다. 하지만 암호화 하지 않아도 된다는 것으로 오해해서는 안된다. 주민번호 암호화 구축은 많은 기간과 예산이 투입이 되는 것이라 미리미리 대비하기 위한 기간으로 2016.1.1로 두었지 지금 당장 암호화 조치를 하지 않아도 규정에 없으니 책임을 면한다는 의미는 아

니라는 것이다.  마켓에서는 암호화 시장이 더욱 확대될 전망이다. 


▲ 고시수준이 아닌 법에 의한 주민번호 암호화 의무화 조치




2.7 제7조 (접속기록의 보관 및 점검)


개정(안) :개인정보처리자는 개인정보의 유출.변조.훼손 등에 대응하기 위하여 개인정보처리 시스템의 접속기록등을 반기별로 1회 이상 점검하여야 한다.






엔시스 생각: 2항이 추가된 것도 접속 기록을 그냥 6개월 이상 보관만 하고 있는 것이 아닌 반기별로 로그기록을 정기적으로 점검하게끔 구체화 하였다고 본다. 개인정보 담당자나 로그시스템 관리자는 조금더 일이 많아 진다고 본다.


▲ 로그기록을 보관만 하지 말고, 정기적으로 점검 하라.




2.8 제8조 (악성프로그램 등 방지)


개정(안): 개인정보처리자는 키보드,화면,메모리 탈취등 신종,변종을 포함한 악성프로그램 방지를 위한 조치를 해야 한다고 명시하고 있다. 






엔시스생각: 최근 해킹기술의 고도화 됨에 따라 피싱,파밍,메모리해킹등에 따른 조치를 하도록 최근 해킹 기술을 반영토록한 조치이다. 또한 악성코드를 제거하기 위한 최신 백신을 설치만 하는 것이 아닌 엔진을 업데이트 하여 최신의 상태로 유지하도록 구체적으로 제시하고 있다. 틈새시장이 생길 수도 있겠다는 생각이 든다. 


▲  기존 백신과 운영체제 업데이트만 가지고 악성프로그램을 방지 할 수 없다. 키로거,화면캡쳐, 메모리해킹 등 신종 보안위협으로부터 보호조치 하라.




2.9 제9조 (물리적 접근 방지)


개정(안): 기존 보조저장매체에 대한 저장만 물리적으로 강조한 반면에 개정안에서는 반출입에 대한 통제 대책을 마련해야 한다.





엔시스생각: 보조저장 매체에 대한 반출입 통제가 잘 이루어져야 한다. 여러가지 모바일 기기의 저장기능이라든지, 휴대용저장 매체등 반출입시에 물리적 통제가 철저히 이루어져야 한다.


▲  보조저장장치의 저장 기능 대량화, 반출입 통제 시스템 강화



2.10  제10조 (개인정보의 파기)


개정(안): 기존에 없던 개인정보의 파기 부분이 고시에 추가 됨으로써 파기에 대한 법적근거 기준을 가지게 되었다. 단순히 파기하라고 했던 권고사항과는 달리 이제는 파기에 대한 중요성이 더 부각되었다고 보면 되겠다.


엔시스생각: 보통 수집동의에 대한 부분은 그래도 최근 들어 신경을 많이 쓰는 편이지만 파기에 대한 것은 의외로 함부로 버릴수 있는 사항이 아니다보니 제대로 규정대로 실천 되지 않는 측면이 많다. 이미 파기 했어야 하는 문서나 저장장치를 그대로 보관하거나 그 보유기간을 무조건 길게 잡는 것도 바람직 하지 못하다. 법에서는 목적달성하면 즉시 파기하라고 되어 있지만 과연 즉시 파기하는 곳은 몇곳이나 될지 의문이다. 파기에 대한 구체적인 기준이 조직내에 마련이 되어야 한다.



3. 결론 : (개인정보의 안전성 확보조치 기준 고시(안)을 보면서


카드사 개인정보 유출로 인하여 개인정보의 중요성을 더욱 부각이 되었고, 그 이후에도 반복적으로 개인정보유출 사건사고가 일어나고 있다. 모두 완벽하게 유,노출에 안전하게 하면 좋겠지만 최소한 법의 테두리 안에서 법이 추구하고자 하는 부분을 지켜야 할 것이다. 내용을 살펴보면 다음 두가지 관점에서 결론을 개인적으로 내려 보고자 한다.


개인정보처리자입장: 해야 할 일이 점검 늘어난다. 주어진 업무외에 개인정보처리 업무를 하는 경우가 대부분이고 , 관리부서와 기술부서가 각각 나누어 업무를 처리하는 곳도 많다보니 역할과 책임등 업무가 일관성 있게 추진되지 못하는 경향이 있다. 또한 담당자 개인에게 모든 짐을 지우기에는 너무 크다. 처우개선이나 인력의 추가지원, 개인정보 컴플라이언스 준수를 위한 예산확보가 시급해 보인다. 또한 의사결정자의 인식개선도 필요해 보인다.  이러한 근본적 해결이 없고서는 규정만 강화 한다고 해서 반복적인 개인정보 유출이 감소되리라 생각하지 않는다. 하지만 반대로 최소한의 지켜야 할 법준수는 해야 할 것이다. 


정보주체의 입장: 개인정보보호법에서 개인정보자기결정권 및 정보주체로서 권리를 보장한 만큼 앞으로 개인정보에 대한 이해관계와 민원은 점점 증가하리라 생각이 든다. 또한 기존 관행으로 이루어진 개인정보 제공이나 공개등에도 제한이 있을수 밖에 없어 불편함이 예상이 된다. 따라서 자연스럽게 정보주체의 개인정보보호를 한다는 취지에서 일부 불편함을 감수 할 수 있어야 자신의 권리도 보장 받고 지킬 수 있을 것이다. 다만 우려되는 것은 법을 악용하여 '진상'소리를 들으면 안된다.  이상 끝.


*정리하는데만 약 2시간 넘게 시간이 걸렸네요. 이렇게 한번 정리해 봄으로써 기억하기 쉽고, 여러가지 이슈에 대하여 다시 한번 대응할 수 있는 방법론을 도출해 낼 수 있습니다. 개인정보에 관심 있는 분들에게 도움이 되었으면 좋겠네요.




  1. 기존 고시와 개정된 내용은 캡쳐하여 구분하였음 [본문으로]
신고
Posted by 엔시스


개인정보보호법 개정으로 인하여 '14년 8월7일부터는 개인정보보호법 '주민번호 수집 법정주의' 로 인하여 법률에 근거하지 않는 주민등록번호 수집은 개인정보보호법 위반이 됩니다. 이에 주민번호 법정주의에 대하여 자세히 들여다 보도록 하겠습니다.



1. 배경


개인정보보호법 주민번호 원칙적 수집금지 배경으로는 무분별한 주민번호 수집에 따른 개인정보 유출로 인하여 국민의 정신적, 경제적 피해를 안겨 주고 있고, 정보통신망법 (2012,08 개정 ) 주민번호 수집금지에 따른 법 정합성의 문제 가 대두 되었기 때문입니다. 


2. 주민등록번호 수집 법정주의



..



2014년 8월7일부터는 원칙적으로 주민번호 수집이 금지가 됩니다. 다만, 법률에 근거한 주민번호 수집은 예외로 하고 있습니다. 이것이 주민번호 수집법정주의입니다. 조금 더 자세히 한번 살펴 보도록 하지요..



                     

                       ▲     출처: 안전행정부 개인정보보호 교육 자료 (전국 순회교육자료)



법 개정전 


개인정보보호법 개정전에는 '정보주체의 별도의 동의를 통해 주민번호를 포함한 고유식별정보 처리가 가능' 하였습니다. 여기서 말하는 법적인 고유식별정보는 '주민등록번호, 여권번호, 운전자면허번호, 외국인등록번호'를 말합니다..※ 관련근거: 법 제24조 제1항 1호, 법 제24조 1항 2호


법 개정후 (2013.08.07 공포, 시행은 공포후 1년후인 2014년8월7일 시행)


법 제24조 2를 신설합니다. 이는 주민번호에 한하여 정보주체의 동으를 얻어서 동의를 통한 수집도 금지하게 된다는 것입니다...즉, 주민등록번호 원칙적 수집 금지입니다. 단, 예외로 다음과 같은 경우에는 허용이 됩니다.



  • 법령에서 구체적으로 주민등록 번호 처리를 요구, 허용하는 경우 (법 제24조2 제1항1호)
  • 정보주체 또는 제3자의 급박한 신체,생명,재산의 보호인 경우 ( 법 제24조2 제1항2호)
  • 기타 안전행정부령으로 정하는 경우 ( 법 제24조 2 제1항3호)



3. 법적 근거가 없는 경우에는 2년안에 파기 해야 ( 2016년 08까지)




 

       ▲    출처: 안전행정부 개인정보보호 교육 (전국 순회교육자료 )



그럼 지금까지 수집한 주민번호는 어떻게 해야 하고 앞으로 주민번호를 수집 할려면 어떻게 해야 하는지에 많은 궁금증을 가질 것입니다..


1)  주민번호 처리 법령이 근거가  있는가 ? 

     -> 법적인 근거에 의하여 수집 하기 때문에 현행대로 유지 하면 됩니다..


2) 주민번호 처리 법령 근거가 없는 경우?


  -> 주민번호 처리가 불가피한 경우 : 법적인 근거를 마련 하여야 합니다. 이는 개인이 근거를 마련 할 수 없으므로 관련 담당 업무를 하는 개인정보 담당자나 관련 부처에 근거를 제시하여 법적인 근거를 마련해야 겠지요. 이는 법 개정으로 이어지므로 정말 주민번호 처리가 불가피 한지에 대한 명확한 근거 제시가 필요 할 것입니다..만약 이것이 어려우면 대체 수단을 적용 해야 할 것입니다.  최근 언론에 발표된 것을 보니 '마이핀' 이라는 개인식별체계를 적용 할 것이라는 보도가 있습니다. 


-> 2년이내에 수집된 주민등록번호 대한 삭제 조치 ( 2016.08.07일까지)


※ 가끔 언론 보도나 질문시에 주민번호 수집 법정주의가 시행이 되면 기존에 수집한 주민번호를 2년내에 모두 파기조치 해야 하는것으로 오인 하는 경우나 질문이 있습니다. 이는 무조건 주민등록번호를 파기 조치 하는 것이 아닌 '법적인 근거가 없는 경우' 에만 해당이 된다는 사실을 반드시 기억 하시길 바랍니다. 



정보통신망법 개정 (2012.08)로 인하여 개인정보보호법 정합성의 문제가 대두되고 또한 무분별한 주민등록번호를 함부로 수집하여 제대로 관리가 되지 않아 유출 되었을 경우 또 다른 많은 피해를 입게 됩니다. 이에 법적으로 아예 이제는 주민등록 번호를 수집 할 수 없도록 하였기 때문에 실제 현장에서나 실무에서는 관련 근거 법령을 찾는 노력이 필요합니다..


예를들어 ) 직원 채용에 있어서 이력서를 제출하라는 양식도 이제는 주민등록번호가 아닌 생년월일로 서식을 수정하여 배포하고 제출 받아야 하며 직원으로 합격이 되었을시에 근로기준법에 따라 주민번호를 동의 없이 수집 가능합니다. 


이러한 조치들이 과연 현장에서 혹은 중소기업등에서 얼마나 이루어질지는 미지수이나 아마도 개인정보 유출에 따른 후속조치로 더욱 법적은 준수에 대한 요구 사항은 강화 될 것으로 사료가 됩니다. 공공기관은 물론이고 민간기업에서도 이제는 법에 근거하지 않은 함부로 주민등록 번호 수집은 법에 위반이 됨으로 숙지 하도록 해야 겠습니다. 개인블로그에 주민번호 수집 법정주의에 대하여 간략하게 정리 해 보았습니다.


( 글쓴이 : 안전행정부 '11,'12,'13,'14 개인정보보호 전문강사, 경성대학교 컴퓨터 공학과 외래교수 전주현)



신고
Posted by 엔시스

카드3사 개인정보 유출, 통신사 개인정보 유출, 의료기관 개인정보 유출등 잇다른 개인정보유출로 인하여 온 나라가 시끄럽다. 과거에는 방송과 언론을 통제하면 되었지만 최근에는 다양한 채널이 많다보니 더 빠른 소식과 더 많은 정보를 접하게 되었다. 다만, 정치적인 목적으로 개인정보 유출에 대한 이슈가 부각되지 않았으면 하는 바램이다. 그러나 보안인식제고와 개인정보 인식제고 차원에서는 누군가의 희생이 필요하다는 것에 안타까움을 느낀다 . 이에 개인정보 취급(처리) 방침 심사제도를 제안에 대한 필자의 생각을 기록해 본다.  -주인백.



개인정보취급(처리)방침 근거법


'정보통신망 이용촉진 및 정보보호등에 관한 법률'(이하 정보통신망법)과 개인정보보호법에 따르면 개인정보취급(처리) 방침을 공개 하도록 명시하고 있다.  


 ① 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우에는 개인정보 취급방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

② 제1항에 따른 개인정보 취급방침에는 다음 각 호의 사항이 모두 포함되어야 한다.  <개정 2012.2.17>

1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법

2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)

4. 개인정보 취급위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 취급방침에 포함한다)

5. 이용자 및 법정대리인의 권리와 그 행사방법

6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항

7. 개인정보 관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처

③ 정보통신서비스 제공자등은 제1항에 따른 개인정보 취급방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.

[전문개정 2008.6.13]


정보통신망법 제27조 2에 근거하고 있다. 이에 따르면 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우는 개인정보취급방침을 정하여 언제든지 쉽게 확인할 수 있도록 대통령령이 정하는 바에 따라 공개하고 그 포함하는 내용을 명시하고 있다.


 ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항

6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 안전행정부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.  <개정 2013.3.23>



개인정보보호법에서도 마찬가지이다. 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다고 명시하고 있다. 



홈페이지에 공개된 개인정보취급(처리) 방침 공개는 형식적인 문구가 많아


법준수를 위해서는 법에 명시한 부분을 제대로 이행하고 있는지가 관건이다. 필자가 지금까지 여러 공공기관과 민간기업 그리고 문의 상담을 통하여 경험한 바에 따르면 개인정보취급(처리)방침에 대한 문구는 대부분 천편일률적으로 웹사이트에 있는 것을 그대로 차용하여 공개한 경우가 대부분이다. 특히 홈페이지 관련해서는 홈페이지 전문 제작업체에 아웃소싱(외주) 주는 경우도 많아 외주 업체에서는 그대로 베껴 쓰는 경우가 많다. 


개인정보취급(처리) 방침을 공개하는 근본적인 이유는 이용자나 정보주체의 개인정보가 어떻게 취급(처리)되는지를 알수 있는 정보주체의 권리 보장에 그 근거를 하고 있다. 보통 교육이나 심사를 나가보면 가장 많이 접할 수 있는 사례가 실제 개인취급자가 개인정보를 위탁하는 것인지 3자제공하는 것이지가 모호하여 개인정보 취급(처리) 방침에 공개하지 않는 경우가 많다.


즉, 제3자 제공임에도 불구하고 3자제공인지 인지하지 못해 개인정보취급(처리)방침에는 제3자 제공을 하고 있지 않다고 공개한 경우도 있다. 상황이 이렇다 보니 법에 공개하라는 근거만 따를뿐 실질적인 현실은 그렇지 않는 경우가 많다.



과연 개인정보취급(처리) 방침 심사제도와 PIMS, PIPL 제도와 차이점은 무엇일까?


여러가지 제도와 규제가 남발한다는 여론의 화살을 피할수 없으나 사회규범속에서 질서를 찾기 위해서는 그 시대에 변화만큼 판단 할 수 있는 근거는 새롭게 만들어져야 한다. 다양한 혼돈 속에서 질서와 규제, 그리고 기준이 없다면 세상은 아수라장이가 된다. PIMS와 PIPL이 있지만 과연 어느정도 적용을 따를지가 사실 의문이다. 그것이 관련 기관이 풀어야 할 숙제이기도 하다.  아이가 걸음마도 배우지 못했는데 아이에게 뛰어 가라고 하는 격은 아닌지 하는 생각도 해 본다. 이상적인 것이야 늘 추구하겠지만 현실은 또 현실이기 때문이다. 


그런 가운데 개인정보보호 관련 걸음마를 할 수 있는 방법은 없을까? 라고 고민하면서 검색을 하다보니 2012년도 11월에 "개인정보취급방침 심사제도 도입연구" 라는 보고서를 찾게 되었다.






개인정보_취급방침_심사제도_도입연구_최종보고서(인쇄본_PDF).pdf




그 보고서 서문에 필요성을 보면 다음과 같이 기술되어 있다.


정보통신서비스제공자 등이 개인정보 취급에 따른 조치사항을 수립하고 있지만 실질적으로 이 방침을 이행하고 있는지에 대한 확인이 제대로 이루어지지 않는다는 점, 정보통신망법상 규정내용은 정보통신서비스제공자로 하여금 개인정보취급방침을 마련할 때 방침에 포함되어야 할 내용이 어떤 것인지에 대한 기준을 정하고 있을 뿐 정보통신서비스제공자가 만든 취급방침이 법의 취지와 일치하는지, 법 규정의 내용을 준수한다 하더라도 실질적인 효과가 있는지 여부 등에 대한 판단 기준이 없어 사실상 그 효용성을 인정하기 어렵다는 점, 나아가, 정보통신서비스제공자가 개인정보 취급방침을 수립했다 하더라도 그 내용이 법에서 명시하고 있는 내용을 그대로 수용해서 필요한 사항을 적절히 포함하고 있는지, 어느 부분에서 법규정의 내용과 상이하거나 위반되는 것이 있는지 심지어 이용자가 당해 취급방침에 대해 확인하고자 한다 하더라도 복잡하고 많은 내용으로 당해 취급방침의 정확한 내용을 파악하기가 쉽지 않다는 점 등의 문제점이 지속적으로 제기되었다.


 또한 개인정보 취급방침에 관한 문제는 정보통신서비스제공자와 이용자간 분쟁이 발생한 경우의 적정성 여부에 대한 해석의 문제뿐만 아니라 정보통신서비스 제공자의 개인정보 급에 따른 정책의 적절성 여부에 대해서도 계속적인 문제가 제기되고 있다. 특히 개인정보 취급방침정책이 단순히 작성하여 공개하는 것으로만 규정하고 있었기 때문에 사업자로서는 어떤 형태로 수집을 하고 이용을 하든지 일단 공개하기만 하면 된다는 식으로 하고 있기 때문에 수집하는 항목이나 이용하는 내용이 지나치게 확장되어 있다


충분히 공감하는 내용이다. 이제는 연구보고서로만 끝나는 것이 아니라 이를 위한 실행이 필요한 시점이다. 수많은 연구 보고서를 제출하지만 단순히 용역 최종 보고서 제출로만 끝나기엔 너무나 아까운 예산들이 소비가 된다. 용역발주를 받아 잘 연구해야 하는 측면도 있지만 좋은 연구자료는 현장에서 적용해야 하는 것도 바람직하겠다.


이에 개인정보보호에 대한 유출과 우려가 화두가 되고 있는 요즘 시기에 소상공인과 중소기업에서는 너무나 멀게만 느껴지는 PIMS,PIPL처럼 거창한 것 보다는 작은 걸음마 단계라 할수 있는 '개인정보취급(처리)방침 심사제도를  제도화 하여 잰걸음을 걸어 갈 수 있도록 해 보면 어떨까 하는 생각도 해 보았다. 제도라는 것은 하루 아침에 만들었다 없던 일로 하자고 하듯이 하는 것이 아니기에 사실 심사숙고해야 하는 측면이 있다. 그렇게 하기 위해서는 다양한 현실적인 대안과 현장에 목소리, 그리고 가볍고 쉽게 접근하면서 점점 역량을 키워나가는 개인정보보호 대책마련이 시급해 보인다. 


아무리 거창한 외침으로 하고 겁을주고 규제를 해도 당장 자신의 역량에 힘이 부치게 되면 결국 자포자기 형태가 되기 때문에 앞으로도 이러한 보안사건사고 이슈나 개인정보 유출에 대한 이슈는 지속적으로 발생 할 것이다. 재발 방지차원을 위해서라도 무조건 걸음마도 못하는 아이에게 일어서서 걸어가라고 하기보다는 일어설 수 있도록 더 많은 보살핌이 필요한 것이 아닌가 생각해 본다.  여러분 의견은 어떤가요? 








신고
Posted by 엔시스

[기획의도] 


이용자의 권리나 정보주체로서의 권리 강화에 일환으로 시작이 되었으며, 개인정보취급자나 처리자 입장에서 움직임은 결국 이용자나 정보주체가 권리를 주장함으로 인하여 개인정보침해가 일어 났음을 증명할때 움직이지 않을까 하는 생각을 합니다. 따라서, 필자는 그동안 수 많은 (공공기관 약 165개기관) 처리자와 취급자에게 교육을 통하여 전달 하였지만 부족한 것은 바로 담당자의 실천과 실행이었습니다. 


조금 더 나은 인식제고를 위하여 우리 주변에서 일어나고 있는 개인정보보호의 실태를 이용자 관점, 정보주체의 관점에서 조명해 보고자 합니다. 이에 관련 기관에서는 현행법상 시행되고 있는 '정보통신망 이용촉진및 정보보호등에 관한 법률(이하 망법)'이나 '개인정보보호법(이하 개보법)'에 대한 법 준수를 가질 수 있도록 유도 함이 목적이기도 합니다. -주인백



1. 부산 B 전시 컨벤션센터


사람들이 가장 많이 몰리는 곳중에 하나가 바로 '전시컨벤션 센터' 입니다. 유명한 행사나 컨퍼런스와 또한 매주마다 혹은 평일에 수 많은 행사가 펼쳐지고 있기 때문이기도 하지요. 그러나 이러한 행사에는 많은 사람의 개인정보를 파악하는 일이 같이 수반이 됩니다. 왜냐하면 행사에 입장객이 얼마이고, 어떤 사람이 다녀갔는지를 파악해야 하기 때문이죠. 행사관계자는 그 많은 사람들이 다녀간 규모에 따라 행사자체의 성공유무를 판가름 할 수 있기 떄문입니다.



2. 무료 관람이나 대형 행사시 참관객 등록 


이렇다 보니 늘 대형 행사장에 들어가기 전에 참관객 등록 절차를 밟아야 합니다. 최근에도 여러 행사가 이루어지고 있었는데요..어제 근처에 행사에 참여 하기 위하여 방문하다보니 과거에도 그랬지만 지금도 여전히 행사시에 개인정보보호법에 나타난 법 준수 사항을 지키지 않는 것을 보면서 무엇이 문제인지를 한번 생각해 보기로 하였습니다.




[그림-1] 행사 참가를 위한 무료 참관객 등록 신청서


위 그림을 보면 참관객 정보를 적는란이 있습니다. 


개인정보 수집항목은  성명, 소속, 부서, 휴대전화, 이메일 입니다..개인정보 수집하는 것이 맞겠죠?


개인정보는 망법과 개보법에 따라 다르긴 하지만 법 적용 대상으로 개보법으로 본다면 '살아있는 개인에 관한 정보' 그리고 '다른 정보와 용이하게 결합하여 개인을 알아 볼 수 있는 정보' 결국 위에 참관객 정보는 개인정보가 맞습니다. 누구인지 알 수 있으니까요..


물론 사진 중간에 보면 수신동의 여부를 정말 가냘프게 한번 물어보긴 하지만 이는 법준수 항목과는 거리가 멀기만 합니다. 단지, 정말 형식적으로 한번 물어 봤다고 생각이 듭니다..



2.1 누가 수집하는 정보일까? 개인정보 처리자가 과연 누구일까?


여기서 관건은 바로 개인정보처리자가 누구인지를 봐야 합니다. 보통 행사를 하게 되면 행사기관에서 개인정보를 수집 하고 있지 센터에서는 직접적인 개인정보를 수집하지는 않습니다. 그랬을때 주관, 주최가 불명확한 경우가 많습니다. 위 그림에서도 내 정보를 수집은 하지만 어느곳에서 수집하는지는 알 수 없습니다. 벡스코에서 수집 할 수도 혹은 주최측에서 혹은 주관하는 쪽에서 수집 할 수도 있는데 정보주체인 자신은 내 정보가 어디로 흘러 가는지를 알수 없습니다.


안내 부스에 있는 여러명에게 질문을 해도 모른다고 합니다. 참 안타까운 현실입니다. 수많은 심지어 수십만명까지 정보 수집에만 열을 올리지 이 개인에 대한 정보가 어디에 축적이 되는지, 수집한 신청서는 어떻게 흘러가서 폐기가 되는지 , 제대로 보관은 되는지에 대한 것은 아무도 알 수 없습니다.


<벡스코 개인정보보호 취급방침> 센터의  개인정보 취급방침입니다.  과연 전시컨벤션션터가 정보통신망법을 준수하는지에도 의문이 듭니다., 개인적인 판단에서는 개인정보보호법 대상이라고 판단이 됩니다만. 어쨌든 개인정보보호법 제30조에 따르면 다음과 같이 되어 있습니다.


 ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항

6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 안전행정부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.  <개정 2013.3.23>


여기에서 과연 행사 한번 할때마다 누가 개인정보를 처리하는가가 관건일 것입니다. 위 그림에서처럼 하면 센터측인가 아니면 개인정보 행사를 담당하고 있는 주관이나 주최측이 되는가 입니다. 아마도 각 행사할때마다 진행하는 행사 주관이나 주최측이 아닐까 생각이 들고 대략적으로 센터측에서 예상 인원을 파악하게 될 것입니다. 그래야 한해동안 센터를 이용한 이용객들의 통계가 나올 수 있으니까요?


3. 그럼 수집한 내 정보는 어떻게 되나? 유출 된다면 누가 책임을 지나? 


가장 민감한 부분일것입니다. 현행법(개인정보보호법)상  법제 26조 , 영 제28조에 따르면 개인정보 위탁시에는 문서로 해야 하며 이에 따른 위탁사는 수탁사를 관리 감독을 하게 끔 되어 있습니다. 그럼 센터는 행사장을 잠시 대여해 주고 그 비용을 받는 위탁일 가능성이 많습니다. 행사장에 대한 부대시설이나 안전등 문제가 생겼을때에는 행사주체자보다는 센터에서 책임을 지는 것이 맞기 때문입니다. 보통 이럴경우에는 개인정보영향평가에서 사용하는 개인정보 업무 흐름표를 작성해 보면 됩니다. 


센터에서의 장소 임대후 수익사업은 센터의 가장 큰 핵심 수입사업이자 메인 사업입니다. 그것이 주된 업무이기도 합니다. 개인정보 업무흐름표상에서 장소를 임대하면서 임대하시는 행사측에 대한 관리 감독이 이루어져야 합니다. 그럼 그 수많은 행사에서 어떻게 일일이 관리하는가? 신경 쓰는가에 대한 반문이 있을 수 있습니다. 보통 교육을 하거나 여러 자문을 할때 이러한 질문을 많이 접하게 되는데요..개인정보보호에 대하여 판단시에는 우선 제일먼저 법에 근거한 해석으로 판단을 하게 됩니다. 즉, 다시 말하면 기존 관행이나 업무부담, 비용등에 대한 것은 논외로 하고 우선 법적으로 판단하기 때문입니다.



3.1 그럼 어떻게 해야 하나?


행사에 따른 장소 및 이용에 대한 계약서 작성시에 위탁사는 수탁사에 대한 관리 감독을 하여야 하고 이에 따른 개인정보를 수집하게 되면 개인정보 수집에 대한 유출시 책임에 대한 사항을 위탁 계약서에 포함을 해야 할 것입니다. 이는 위탁사의 관리 감독에 따른 사항으로 철저히 지켜질 필요가 있습니다. 혹자는 장소만 대여하는데 무슨 관계가 있는가라고 반문 할지 모르겠으나 그 장소 대여에 따른 비용 수익이 발생하기 때문입니다. 이에는 시설안전과 기타 사항이 모두 포함되는 비용이라 생각이 됩니다. 그 속에 개인정보도 포함된다고 필자는 판단하기 때문입니다..관리감독을 철저히 해야 합니다.  만약 지켜지지 않았을시에는 3천만원이하의 과태료가 부과 됩니다.



이와 유사한 케이스가 많이 있을텐데 개인정보보호 담당자는 장소 대여하고 비용청구 및 정산시에 계약서 작성을 할때 그 계약서 안에 개인정보 수집에 대한 사항을 포함하여 행사 주최나 주관사로 하여금 개인정보보호법을 준수하도록 하여야 합니다. 그리고 그에 따른 개인정보 위반이나 유출시에 책임을 묻겠다는 조항도 포함이 되어야 할 것입니다. 단지 장소만 빌려주니까 당신들이 알아서 하라는식으로 하는 것은 장소 대여하는 비용 수익 발생과 아무런 연관이 없어야 할 것입니다. 그래서 개인정보가 상당히 어렵습니다..공부를 많이 해야 하는 부분중에 하나이기도 합니다.



4. 마무리 


우리가 어떠한 판단이나 결정을 할때는 반드시 기준이 필요합니다. 그러나 그 기준을 가지고 보는 사람마다 견해차이를 둘 수 있습니다. 특히 법 같은 경우에는 유권해석에 따라 다르게 판단하는 경우가 있으며, 그 상황상황 마다 다르게 결정될 수 있습니다. 그래서 판례도 많이 생겨 날텐데요...필자의 판단과 다르게 해석할 수도 있습니다. 하지만 개인정보보호법, 혹은 망법의 개인정보보호에 대한 취지를 생각해 볼 필요가 있습니다. 


법에 취지는 이용자 혹은 정보주체의 개인정보 자기결정권과 권리를 주장할 필요가 있고, 과다한 개인정보 수집을 하지 않는 것이 법의 취지입니다. 행사 진행으로 인하여 기존관행이 그대로 된다면 현행법상 많이 힘들어 지게 됩니다. 

간단한 연령, 성별, 이름 정도만 수집하여도 행사 참여자는 얼마든지 인원 파악은 가능합니다. 굳이 이메일과 휴대폰번호까지 수집해야 할 이유가 없습니다. 필요하다면 그 필요한 상황에서 수집하면 되지, 무료 참관 할때 과도한 수집은 기존관행에서 벗어나지 못하고 있다는 것입니다. 그것이 법의 취지이기도 합니다. 


앞으로 필자는 개인정보보호 인식제고 차원에서 사회 곳곳에 우리 생활에서 접할 수 있는 개인정보침해 현장을 살펴보고 개선해 나갈 수 있도록 제 블로그를 방문하시는 분들과 함께 의논해 나가면서 건전한 토론문화를 정착해 나갈 수 있도록 생각하고 있습니다...건전한 피드백은 언제든지 환영합니다. 이제 소중한 개인의 정보는 자신이 지켜야 합니다.  @엔시스.






신고
Posted by 엔시스


지난 18일 월요일 서울 한국정보호화진흥원 (무교동) 1층에서 개인정보보호 인증제(PIPL) 설명회가 있었습니다. 이에 참석하기 위하여 부산에서 아침 새벽 5시에 출발하였습니다. 물론 다른 일정도 포함하여 1일 당일로 다녀온 서울 출장이었습니다...이에 개인정보보호 인증제도 설명회 후기를 제 주관적인 관점에 따라 간략하게 블로그에 기록해 봅니다. 의견 있으신 분들은 댓글로 환영합니다. -주인백


1. 하루 스케쥴은 미리 계획하여 스케쥴대로 이동


보통 출장시에는 사전에 이동경로를 파악하여 시간을 설정하여 그 시간대로 움직이게 됩니다. 그렇게 이동을 하더라도 늘 변수가 생길수 있어 최대한 일정에 맞추려 하고 있습니다. 18일 당일에도 무사히 계획대로 잘 움직인듯 합니다. 다만, ISEC2013 참여도 있었으나 시간 관계상 참여 하지 못한 것이 아쉽네요...


2. PIPL 설명회 참석 


서울역에서 급한 마음에 택시를 탔는데, 정보화진흥원을 가자고 했는데 알지 못하고 있었습니다. 그러면 네비라도 검색해서 가야하는데 기사분은 자꾸 어디죠? 차라리 지하철 타고 이동할껄 생각하며 네비 쳐 보세요라고 말하자 그때서야 네비를 찍더군요...


근처에서 내려 걸어서 진흥원에 갔을때 이미 많은 분들이 와 있었고, 눈에 익는 분들도 몇분 계셔서 인사를 나누고 설명회를 들었습니다. 원장님 인사 말씀과 관계자분들의 설명이 이어졌습니다.




                                          ▲  개인정보보호 인증 설명회 책자 



PIPL(피플)이라고 읽더군요...설명회를 듣고 PIPL 특징과 느낌  몇가지를 적어 보겠습니다...


  • PIMS와 유사하다. PDCA 사이클을 준수한다.
  • 개인정보보호법을 토대로 개발되어 개인정보보호법을 반드시 숙지해야한다.
  • 공공기관, 대기업, 중소기업, 소상공인 4개 대상으로 분류하여 차별화 하였다. (이것이 가장 타 제도와 차별점)
  • 공공기관이 대상이 되기 때문에 더 활성화가 될 것으로 예측이 된다.
  • 제도 마련으로 보안관련 일자리가 창출 된다. 특히 지역 보안 일자리
  • 시행초기라서 시행착오를 겪을 것으로 예상된다.

1. PIMS(개인정보보호관리체계)와 유사성

그동안 국제표준을 추진하고 있는 방통위의 민간 개인정보보호관리체계인 PIMS와 유사하게 개발 되었으며, PDCA 사이클을 따릅니다.. 따라서, 제도 한가지를 잘 숙지하면 나머지는 거의 유사하기 때문에 비교하여 숙지 하면 됩니다.. 하지만 정보통신망법의 특별법을 따르는 기업에 일반법으로의 개보법(개인정보보호법)을 따르게 되면 제도 인증시에 구축하는 기관과 기업입장에서는  조금 혼란은 불가피 할 것으로 생각이 됩니다..

예를 들어 A지자체 기관이 지역에 특산물인 농산물을 온라인 쇼핑몰을 이용하여 영리를 추구하는 사이트를 직접 운영한다고 가정을 한다면 이 기관은 공공기관이므로 개인정보보호법 대상이지만 쇼핑몰은 정보통신서비스 제공자가 되고 해당 구매자는 이용자가 됩니다. 이럴때 A지자체는 전사적으로 개인정보보호 인증을 받으려 한다면 어떤 기준으로 할까하는 생각이 듭니다., 물론 , 혼란스러울때에는 전사적으로 받지 않고, 특정 부분이나 서비스를 대상으로 받을수 있으나 대부분 전사로 받으려는 곳이 많기 때문입니다.


2. 개인정보보호법 토대로 개발 되었다.


관계자분 말씀에 따르면 개인정보보호법 토대로 개발이 되어 법에 나온 내용은 대부분 반영이 되어 있다고 합니다. 따라서 앞으로 기관에 개인정보보호 담당자나 컨설턴트 분들은 개인정보보호법에 대한 숙지가 반드시 필요하고 자주 법을 접하게 될 것입니다. 저도 지금까지 164곳의 기관에 개인정보보호 교육을 하다보니 본의 아니게 개보법과 특별법인 의료법, 고등교육법, 여권법등 다양한 법을 접하게 되었습니다. 아마도 관리체계를 준비하거나 공부하시는 분들은 이러한 법,제도를 많이 숙지를 해야 할 것입니다. 또한 시행령, 시행규칙, 그리고 세부적인 고시기준에도 실천해야 할 사항들이 많이 있으므로 잘 챙겨 보셔야 합니다. 특히, 고시는 다양한 세부 내용이 들어 있으므로 망법과 개보법을 잘 비교하여 숙지하는 것이 중요합니다...제가 교육시에는 자주 강조하는 것 중에 하나가 바로 "기준" 입니다. 그 기준이 없으면 무엇을 어떻게 해야 할지를 결정을 하지 못합니다. 어렵다고 회피하거나 사례 위주로만 연구를 하면 그외적인 부분에서 많이 힘들어 집니다.


따라서, 어렵더라도 자주 접하고 또 찾아보고 또 접하고 하면 어느새 익숙해져 있는 자신을 보게 됩니다. 조금 자세히 연구하고 공부하다보면 어려움을 넘어서 조금 재밌게 접할 수 있는 시기도 도래 하게 됩니다. 기왕 하는게 툴툴대면서 하면 결국 할꺼 하면서 늘 지치게 됩니다. 즐기시길 당부드립니다..



3. 대상이 선별적으로 구분되어 있다. 


공공기관, 대기업, 중소기업, 소상공인 등으로 구분되어 있는것이 가장 큰 특징이라 하겠습니다. 소상공인에게 정책까지 요구하는 것은 어쩌면 현실성이 떨어지는 것일지도 모릅니다,. 그러니 개인정보처리단계별 조치사항만이라도 잘 준수하고 있다면 이에 대한 인센티브를 줄 필요성이 있습니다. 특히 PIPL은 의무사항이 아니라 권고 사항이기 때문에 자율성을 띤 제도입니다. 물론 자율성이라고는 하지만 공공기관의 경우 앞으로 의무화 될 가능성이 높다고 봅니다..이러한 대상의 다양성 측면에서는 보다 수준별로 적용 가능한 것은 유연성 있다고 보겠습니다.



4. 공공기관의 대상, 개인정보보호 실태점검, 수준점검 등과 충돌성 여부


PIPL은 공공기관 개인정보보호 관리체계 인증 제도이기 때문에 앞으로 활성화 될 것으로 사료됩니다. 이는 기존에 실태점검이나 수준점검 보다 조금 대외적인 측면과 신뢰도 측면에서 더 큰 제도로 자리 매김 하게 될 것이기 때문입니다.  실태점검이나 수준점검은 그 해당연도의 실태점검 차원에서 진행이 되었지만  PIPL의 인증제도가 정착이 된다면 굳이 2-3가지 제도를 함께 운영할 필요가 없을 것으로 봅니다. 물론 긴급성이나 해당 부처에서 내부적으로 실태점검 할 수있는 있겠지만요. 담당자 입장으로서는 여러가지 준비하려면 그만큼 부담으로 작용되기 때문입니다. 따라서 , PIPL하나만 잘 준비하게 된다면 다른 실태점검이나 수준점검도 이에 합당하는 수준까지 올라 간다고 하면 PIPL에 대한 도입만 신경쓰면 될 것입니다. 정책적인 입장에서는 추후 시행되어 불필요한 이중 규제적인 성격이 된다면 더 합리적인 차원에서의 인증제도만 남을 것으로 사료됩니다. 물론, PIPL을 도입하지 않는 곳이 많기 때문에 확산되기까지는 기존 실태점검이나 수준진단을 진행될 것으로 예상이 됩니다.


따라서, PIPL은 현재는 권고수준이지만 향후에는 의무사항으로 갈 가능성이 높아지지 않을까 예상해 봅니다.



5. 제도마련에 따른 일자리 창출, 지역에 보안 일자리 창출


사실상 하나의 제도 마련하였다고 얼마나 일자리가 창출 될 것인가 의문을 가지는 경우가 있지만 새로운 기술의 발전과 서비스 출현으로 그만큼 위험의 요소도 증가하기 때문에 보안에 대한 요구사항도 많아 지게 됩니다. 이러한 차원에서 관리체계에 대한 도입이 가중될 것으로 생각 됩니다. 이에 따라 수행할 인력도 많이 필요하게 될텐데요..


첫째, 관리체계는 자체적으로 수립하여 진행하는 경우가 극히 드물게 보입니다. 대부분 컨설팅을 받게 됩니다. 이는 자체 구축이 가능하더라도 해당 부서의 예산과 실적과 같은 내부적인 요인으로 전문업체 컨설팅을 용역 발주하게 되는데 이에 대한 컨설팅 인력이 더욱 증가하게 될 것입니다. 특히 공공기관의 개인정보보호 관련 인증이기 때문에 더 많은 인력이 필요로 해 보입니다. 앞으로 지켜봐야하겠지만 말이지요..


둘째, 인증심사원의 증가가 예상이 됩니다. 현장심사를 위해서는 심사원, 선임심사원,책임심사원등 경험있고 유능한 심사원이 많이 필요로 합니다. 그럼 인증신청수에 비하여 과도한 인증심사원이 필요가 있느냐는 반문을 하시는 분이 있을 수 있는데, 실제로 인증심사기간은 5일정도 소요되기 때문에 사실상 재직하면서 심사를 나간다는 것이 그리 쉬운 일은 아닙니다. 또한 다양한 분야에 대하여 심사를 하기 때문에 다양한 분야 심사원 풀(Pool)이 필요합니다. 이에 적어도 약 500명 이상의 인증심사원 풀은 확보해야 하지 않을까 하는 생각이 듭니다. 


셋째, PIMS는 민간에서 실시하는 개인정보보호관리체계 인증인 반면에 PIPL은 공공기관을 비롯한 3개 대상을 구분하여 진행을 합니다. 따라서, 지역에도 많은 공공기관과 중소기업이 있기 때문에 (개인정보보호법 대상이 되는 기업) 이에 대한 수요로 인하여 지역에 있는 인증심사원과 컨설턴트의 기회가 더 많아 질 것으로 예상을 합니다. 대다수 정보보호 관련 컨설팅 기업은 서울과 수도권에 있기 때문에 사실상 지역에서 적은 비용으로 2-3개월씩 상주하면서 체제비용을 감당할 수 있을까 하는 의문이 듭니다. 그렇다 보면 결국 컨설팅 비용단가가 상승하게 되고, 이는 용역 수주에 대한 비용상승으로 작용하게 됩니다. 지역 업체나 개인정보보호 관련 우수한 인력을 잘 활용하여 로컬라이제이션하게 된다면 지역 보안 일자리 창출과 지역 IT관련 대학의 학생등 참여도 유도 할 수 있고, 장기적인 안목에서 선순환을 가져 올수 있게 될 것입니다. 이런점에서는 관련 부처 담당자분들께서 잘 고민하고 제도 정착이 될 수 있도록 조금 더 배려와 신경을 써 주신다면 제도의 취지를 잘 반영이 될 것으로 사료 됩니다.


6. 시행초기라서 시행착오가 있을 듯.


처음부터 완벽하면 좋겠지만 시행착오가 될 것으로 사료됩니다. 관리체계는 하나의 제도이기 때문에 진흥적인 측면에서의 인센티브 성격도 있지만 대부분 받아들이는 입장에서는 규제적인 성격으로 받아 들이고 있습니다. 따라서 타 기관과의 협조라든지, 혹은 이중규제 그리고 진행하면서의 현장에 대한 여러가지 미비점들이 도출 될 것으로 사료됩니다. 가급적 다양한 목소리를 청취하여 많은 의견 수렴을 적극 반영 하였으면 합니다.



마무리.


국내에는 여러가지 보안관련 법과 제도가 많습니다. 그중에 보안을 체계적으로 관리하는 것은 굉장히 중요한 요소중에 하나라 생각합니다. 소기업이었을땐 주먹구구식으로 그때 그때 상황에 따라 솔루션 도입이나 대응을 하였지만 어느정도 기관이나 기업이 규모가 커지만 이제는 합리적이고 체계적인 관리가 필요합니다. 그중에서 정보주체나 이용자의 개인정보는 기관이나 기업의 자산이 아니라 정보주체나 이용자의 개인정보를 잠시 수집하고 보관하고 이용하고 제공하고 파기 하는 형태이기 때문에 무엇보다 소중하게 다루어져야 합니다.


이에 , PIMS와 PIPL 등이 마련되어 시행을 하거나 시행을 앞두고 있습니다. 무엇보다 중요한 것은 이 제도를 만든 처음에 취지를 잘 이해를 해야 할 것입니다. 기관이나 기업에 규제하려는 접근방식보다는 그동안 너무나 방치되어 있던 개인정보보호에 대한 관행적인 습관을 이제는 법 시행이후에 제대로 관리 해 보자는 취지이며 그렇게 신경쓰는 기업이나 기관에 대해서는 조금 더 인센티브를 주어야 하는 것은 마땅 할 것입니다. 이를 면죄부를 주거나 도피하기 위한 방법으로 사용한다는 것으로 곡해 해서는 안될 것입니다. 그 이유는 법과 제도가 시행이 되더라도 완벽하게 100% 그대로 시행하는 기관이나 기업은 없기 때문입니다. 


물론, 해당 기업이나 기관 담당자분들께서는 많은 애로사항이 있을것으로 사료 됩니다만 이미 최근에 보안 트렌드나 이슈는 그 패러다임의 전환점을 맞이 하고 있습니다. 사전 조기 예방을 위해서는 이러한 제도를 규제보다는 적극적으로 활용하여 보다 안전한 기관과 기업의 신뢰도를 높이는 것이 더 중요한 사명이 아닌가 생각해 봅니다. 의견 있으신 분들은 댓글로 환영합니다. 인격적인 댓글은 사양합니다. @엔시스 .


P.S 참고로 올해 첫눈을 서울 출장중에 맞이하였습니다...그 순간 어느 카페에서 중요한 분들과 담소를 나누던 중이었습니다. 2013년 첫눈 맞이하는 추억으로 남을 듯 합니다. ^^


* 본 포스팅 이후에 따로 설명회를 열어서 설명한 동영상이 유튜브에 올라와 있군요.,.데일리시큐에서 공개해 주셨습니다. 감사드립니다.




동영상링크


http://www.youtube.com/watch?v=ZkgONyGs9BA#t=11



신고
Posted by 엔시스


최근 새정부 정부3.0이라는 패러다임을 제시하고 소통,개방,공유,협력이라는 키워드를 통하여 개인의 맞춤형 정보를 제공하기 위하여 공공의 데이터를 충분히 활용할 수 있는 실천방안을 제시하였다. 정보를 보호하는 것도 좋지만 그것을 활용하는 것도 중요한 의미를 두는 듯 하다. 이와 괘를 같이 하여 2013년 9월30일 '개인정보보호법'이 제정된지 2년째 되는 날이다. 그동안 개인정보보호법 제정이후에 얼마나 많은 변화가 있었는지 살펴보고, 향후 발전 방향에 대하여 모색해 보고자 한다. -주인장 백



개인정보보호의 중요성에 대해선 인식 높아져


스마트폰에 대한 보급과 최신 기술에 발달, 그리고 다양한 서비스의 개발로 인하여 개인의 정보는 이미 많은 곳에 흩어져 있다. 과거에는 한곳에서만 관리하던 것이 이제는 한 사람의 정보가 수많은 서비스를 이용하면서 정보를 제공해야 하니 그만큼 유,노출에 대한 위험성도 커진 것이 사실이다. 그만큼 더 많은 개인정보보호에 대한 신경을 써야 하는 것이다. 이런 이유로 지난 2011년9월30일 일반법으로서 '개인정보보호법'이 제정이 되었다. 즉, 누구나 정보주체로서 권리를 주장할 수 있고 보호 받을 수 있는 것이다. 또한 개인정보처리자는 이러한 정보주체에 대한 정보를 보호해야할 처리단계별 의무조치 사항을 지켜야 한다. 물론 특별법으로 '정보통신망법'은 그 이전에부터 개인정보에 대한 규정을 하고 있었다. 


각 기관이나 기업에서는 이에 대응하고자 많은 직장 교육과 특강을 통하여 중요성과 필요성에 대한 인식을 어느정도 각인이 되었다고 볼 수 있겠다. 그것은 여러가지 설문을 통하여 나타난다. 하지만 아직도 중소기업이나 현장을 돌아보면 미흡한 부분이 많이 있다. 



개인정보 중요성만 인지할뿐, 실천은 형식적인 모습뿐.


어느정도 조직규모가 있고, 체계적인 조직은 기본적인 큰 틀에서 대부분 문서상으로 갖추어져 있다. 자체적으로 해결하는 경우도 있고, 대부분 정보보호 컨설팅 업체를 통해 컨설팅을 받고 체계적인 관리를 한다. 하지만 대다수 현장을 점검하거나 실태조사를 해 보면 형식적인 보호에 지나지 않는다. 문서상으로는 잘 관리가 되고 있는데 실제상으로는 그렇지 못하다는 것이다. 그 이유는 여러가지가 있지만 다음 3가지 정도로 정리해 보고자 한다.


  • 첫째, 개인정보보호 담당자의 부족 - 자문 및 교육등을 통하여 현장을 다녀보면 아직도 개인정보보호 업무만 하는 사람은 많지 않다. 자신의 업무외적으로 처리하고 있는 업무가 개인정보에 대한 업무니 그 전문성저하와 형식적인 문서관리에 지나지 않는다. 업무를 해본 사람은 모두 알겠지만 한 조직에 개인정보보호에 대한 업무가 너무나 많고 다양하다는 것을 누구나 알것이다. 그러다 보니 가능하면 해당 업무를 기피하는 현상이 생기고, 어쩔수 없이 자의만 타의만으로 맡게 되면 어떻게든 자신이 업무를 맡기 있는동안만 안전하게 사건사고 없이 잘 지나가길 바라는 안일한 업무방식이 문제인 것이다. 예를들면 어떤 담당자분은 특수회원을 문서를 통하여 받고 있는데 지금까지 개인정보 수집동의를 하나도 받지 않았다고 한다. 알고 봤더니 이분은 업무 맡은지 한달밖에 안되었다고 하더라. 그 전임자가 업무를 하지 않고 후임자에게 넘긴 것이 된셈이다. 이런 질문에 그동안 누락된 업무를 모두 해야 한다고 하니 당황스러운 표정으로 자리를 떠나는 것을 보며 씁슬함을 느꼈다.
  • 정보주체의 권리 강화에 촛점이 안 맞추어져  - 개인정보보호법의 원래 취지는 정보주체의 권리 강화 및 보호에 있다. 따라서 정보주체가 개인정보에 대한 권리침해가 이루어졌을땐 정당한 권리를 보장 받아야 하는데 공공기관이나 기업을 상대로 하여 자신의 권리를 주장하다보면 어느새 자신은 개인혼자이고 기관이나 기업을 상대로 하기엔 무리가 있으며 해당 담당자도 권위적이고 잘못된 부분을 시정하거나 개선하기보다는 숨기기에 급급하면서 제대로 개인정보에 대한 보호 마인드가 되어 있지 않다. 그렇다보니 정보주체권리를 주장하는 사람은 일명 '진상'이 되어버리는 경우가 왕왕있다. 이제는 바뀌어야 한다. 개인정보처리자(취급자)입장에서 보호해야할 정보주체와 이용자를 보호해주어야 한다. 그렇게 방어하고 있는 자신도 개인정보를 다른 처리자나 취급자에게 제공해야 하지 않는가? 역지사지 입장이 된다면 충분히 공감하리라 생각한다. 또 다른 방법으로는 침해사고센터나 개인정보분쟁조정위원회등이 있지만 아직까지 제도권보다는 스스로 해결하려다 포기하는 경우가 많다. 
  • 해도 되고 안해도 된다면 당연히 안할 것, 정부의 강력한 의지가 있어야 과거의 관행으로 점철되어 있다보니 법이라는 기준이 있지만 그것을 지켜려는 사회적 분위기와 공감대 형성이 이루어져야 한다. 하지만 먹고 살기 바쁜 현실속에서 법을 준수한다는 것 보다 생존에 대한 욕구가 강하다보니 자연스럽게 국민이 기본적으로 지켜야할 법에 대한 경계선을 넘게 된다. 그러면서 다른 자신도 모르게 범죄자가 되어버리고 있는 것이다. 그런 이유는 무엇보다 정부의 강력한 의지가 있어야 한다. 지금까지는 기존관행으로 인하여 갑작스러운 변화에 따른 거부반응으로 인하여 연착륙을 시도하려 했지만 이제는 2년이지난 지금도 개인정보 유출은 아직도 지속되고 있으며 무엇보다 정보주체와 이용자에 대한 개인정보를 보호하지 못하면 그에 상응하는 처벌이 따른다는 사회적 합의를 빨리 이끌어 내는 것이 좋겠다. 법의 기준에 따라 해도 되고 안해도 별다른 제재가 없다고 한다면 백이면 백 하지 않을 것이다. 이것이 강력한 드라이브를 걸어야 하는 이유이다. 최근 개인정보보호법 개정안이 공포되고 2014년 8월이면 시행이 된다. 이것은 정부의 의지를 들어낸만큼 적극 대응해야 한다.

개인정보에 대한 향후 개선 방향 및 발전 방향.

개인정보보호법이 시행되기까지도 많은 진통이 있었다. 그러나 이미 법은 제정이 되었고, 그 이후 2년이라는 시간도 흘렀다. 어느정도 연착륙 한 부분이 있지만 아직도 개선해야할 점이 다수 있다. 필자가 현장에서 경험한 여러가지 상황을 기반으로 제한 해 보고자 한다.

  • 개인정보보호 전담인력배치 - 현장을 돌아보면 개인정보보호 담당자는 늘 힘들어 한다. 또한 내부적인 교통정리가 되어 있지 않아 기술적 관리는 정보통신담당에서 관리적인 부분은 총무과나 행정과 등에서 나누어 하다보니 부서별 업무협조가 안되고 일괄적이지 못한 경우도 있고, 담당자 개인의 또 다른 업무로 인하여 깊이 있는 전문성제고에도 애로사항이 많다. 상황이 이렇다보니 현실은 자꾸 악순환을 가져 올 수 밖에 없다., 장기적인 관점에서 볼때 새로운 디바이스기기의 출현과 서비스로 개인정보의 유출은 점점 더 가시화 될 것이다. 이제는 해당 분야에 전문성을 가진 전문인력을 따로 채용할 필요가 있다. 공무원시험에서 전산직렬에서 개인정보보호 담당자를 혹은 기업에서 개인정보보호 업무 담당자를 따로 채용을 한다면 그 인력은 담당 업무만 지속적이고 체계적으로 하게 되어 전문성과 기관과 기업의 업무 향상에도 도움이 되리라 판단이 된다. 또한 개인정보 국가기본계획 수립에 보면 관련 개인정보보호학과 개설이나 또는 전공을 공부할 수 있는 방안이 제시가 되었는데 한시가 더 급하다는 생각이 든다. 지금 시작해도 자리잡을려면 많은 시간이 필요하다. 관련 학과에서 해당 과정을 개설하여 파이럿 형태로 우선 운영해 보아도 좋을 것이다. 학교가 힘들다고 하지 말고 새로운 시도와 타 학교와 차별성 있는 기획과 방안을 제시하면 그것이 새로운 경쟁력이 아닐까 생각한다. 
  • 형식적인 교육은 가라, 실질적이고 의무교육 시행해야 - 필자가 현장을 다니면서 경험한 바에 따르면 그냥 직장인 교육에 일환으로 1시간 교육하고, 참석자 사인하고 교육사진 찍고 해서 그것으로 끝나는 경우가 다반사이다. 아시다시피 개인정보에 대한 교육은 조금 더 구체적이고 체계적인 교육이 이루어져야 한다. 처음에는 범용적인 수준에서 교육이 이루어지고 , 그 다음은 취급자위주에 조금 더 실무적인 내용과 실제 현장에서 이루어지는 자신들의 업무와 연관성 있게 이루어져야 관심을 갖는다. 내부업무를 잘 아는 사람이 교육을 하자니 우선 전문성도 결여측면도 있지만 타 부서에 자신의 부서 일을 교육한다는 것 자체에 부담을 느끼는 경우가 많다. 그래서 외부에 인증된 외부 강사를 초빙하여 교육을 하지만 외부 강사는 또 내부 업무를 잘 몰라 외형적인 일반적인 교육만하게 되어 형식적인 교육이 될 수 밖에 없다. 또한 매번 다른 강사를 초빙하여 교육을 하면 반복적인 교육이 되고 지난번 들어던 교육이 되풀이되는 것이다. 이를 위해서는 여러 지역별, 산업별로 다양한 전문강사 육성이 필요하다. 예를 들어 의료면 의료, 교육이면 교육, 금융이면 금융등..혹은 다양한 부분을 경험하고 그 업무 내역을 모두 파악 할 수 있는 커리큘럼을 만들어 교육에 투영할 수 있도록 해야 한다. 이를 위해선 사전에 개인정보보호에 대한 예산이 확보되어 있어야 한다. 아무리 좋은 내용, 강의잘 하는 강사라 하더라도 지역에 외진 곳에 초빙하기란 쉽지 않다. 또한 의무적으로 반드시 시행해야 하는 교육으로 자리매김해야 한다. 
  • 정부3.0 새 패러다임에 입각한 해당 관련 기관에서 모범과 정보 공개해야  -개인이 정보를 가지고 있어봐야 얼마나 가지고 있고, 중소업체가 정보를 가지고 있어봐야 얼마나 가지고 있겠는가? 개인정보 관련 기관에서 정책을 집행하고 운영하고 있기 때문에 아무래도 가장 많은 정보를 가지고 있을 것이다. 정부3.0 새 패러다임에 입각하여 현장에서는 흔한 사례, 양식하나라도 아쉬워 하며 어쩔줄 몰라 하는 경우를 많이 봐 왔다. 특히 공공기관은 상위기관의 지침만 바라보고 있는 경우가 다반사이다. 기관 특성상 개인임의적으로 함부로 업무를 진행 할 수도 없고, 또한 타 동일 기관과 형평성 문제도 있기 때문에 일괄적인 또는 다양한 정보를 자꾸 내려 보내 주지 않으면 그 하위 산하 기관들은 그대로 손 놓고 있을 수 밖에 없는 경우가 있다. 이러한 것을 방지하기 위하여 많은 정보를 공개하여 다양한 사례, 양식, 유권해석, 그리고 창구를 일원화 하여 집행이 될 수 있도록 해야 한다. 우선 공공기관이 모범을 보이고 개선이 되어 나가면 자연스럽게 그 다음은 민간으로 따라가게 된다. 민간이 자체적으로 자신의 기준을 세워 비용과 예산을 들여 집행하기엔 부담이 되고 추후 관련기관에서 다른 기준을 제시하면 또 다시 재구성을 해야 하는 부담때문에 한발짝 늦게 따라 갈 수 밖에 없기 때문이다. 지금은 그래도 과거보다는 많은 정보를 해당기관의 홈페이지나 sns채널을 통하여 입수 할 수 있고 소통할 수 있다. 정부 3.0 관련하여 빅데이터 이용등 개인정보 지침에 대해서는 다음자료를 참고 하면 좋겠다.

  • 130830_공공정보 개방 공유에 따른 개인정보보호 지침(최종) (1).hwp
  • 개인정보 처리(취급)방침 심사제도 도입  - 개인정보보호에 대하여 여러가지 정보를 수집하다보니 개인정보취급방침 심사제도 도입에 대한 용역보고서를 접하게 되었다. 상당히 현실적인 대안으로 생각이 되고, 지금까지 공공기관과 기업에 교육을 다니면서 현장을 살펴본 바로는 형식상으로는 갖추어졌는데 실제적으로는 이루어지지 않고 있는 부분을 많이 보았다. 개인정보 처리(취급)방침에도 제3제 제공이나 위탁이 이루어지고 있음에도 불구하고 없다고 생각한다든지, 내부관리계획 수립에서 기본적인 샘플양식을 그대로 차용하여 개인정보처리자 취급자명칭만 바꾸어 놓고 내부관리계획을 세웠다고 알고 있는 담당자라든지..이러한 현실적이고 이제는 실질적인 실태점검을 하고 심사하는 제도의 도입이 빠르게 요구되는 시점이다. 혹시 궁금하실 분들을 위하여 보고서를 첨부해 놓겠다.


개인정보_취급방침_심사제도_도입연구_최종보고서(인쇄본_PDF).pdf



마무리


'정보통신망이용촉진및 정보보호등에 관한 법률', '개인정보보호법' , '신용정보제공등에 관한법률' 등 개인정보에 대한 관련 법령들이 속속히 제정되고 개정되고 있다. 이러한 시점에서 개인정보 유,노출은 개인의 프라이버시 침해와 제2의 피해까지 생기게 되는 아주 중대한 문제중에 하나이다.  이를 가볍게 여겨서는 안될 것이다. 그러면 굳이 법까지 만들필요가 무엇이 있겠는가? 이제는 개인정보처리자(취급자) 입장에서는 소극적인 자세에서 벗어나 적극적으로 대처하고 정보주체와 이용자의 권리를 보호해 주는 사회적 책임을 다하는 기업과 기관이 되어야 할 것이며, 정보주체와 이용자는 자신의 개인정보의 권리침해가 있음에도 불구하고 귀찮다는 이유만으로 다수는 그 권리를 포기하는 경우가 많다. 이제는 적극 대처해야 할 필요성이 있으며, 사회적 공감대를 형성하여  대한민국의 주민등록번호등이 개인정보가 아닌 공개정보라고 하는 오명에서 하루 빨리 벗어나는 한단계 더 발전하는 개인정보 2.0 시대를 맞이 하였으면 하는 바램에서 장시간 생각을 한번 정리해 보았다. 일부 단편적일수도 있고, 개인적 견해에 동의하지 않을 수 있겠지만 무엇보다 자신의 정보는 자신이 지키는것이 가장 중요한 핵심이 아닐까 하는 생각이 든다. 대한민국 개인정보보호수준이 한단계 업그레이드 되길 바란다. 끝. 


참고 : 개인정보보호관련 커뮤니티 : http://cafe.naver.com/privacyguide 





신고
Posted by 엔시스

개인정보보호법이 시행된지 2년이 다 되어 갑니다. 하지만 아직까지도 지속적으로 개인정보가 유출되는 것으로 보아 기존 관행과 인식제고가 부족해서 그렇다고 생각되어 집니다. 이에 개인정보보호법을 중심으로 기존에 나와 있던 여러가지 자료를 이용하여 <개인정보 필수 조치 사항 체크리스트>를 만들어 보았습니다.


최근에 블로그 포스팅 하기가 참 어렵군요. 당장 급한일 처리하느라 시간 내기가 쉽지 않고, 여러가지 다른 곳에 시간을 할애하다보니 블로그 포스팅이 좀 뜸하게 되는군요,. 하지만 무엇보다 중요한 것은 바로 '콘텐츠' 이다라는 것을 너무나 잘 알기 때문에 가급적 생각의 정리, 지식의 정리를 위하여 포스팅 하도록 하겠습니다.



           

                                 ▲    개인정보보호 필수조치사항 체크리스트 버전 0.1


처음 10여개 분야에 약 40여개  세부항목으로 우선 구성이 되었는데요. 법률이나 시행령 그리고 표준 지침안을 더 찾아서 최소한 필수적으로 해야 하는 조치사항은 지속적으로 업데이트 해 나갈 생각입니다. 또한 국내 대기업보다는 중소기업이 더 열악한 상황이라서 중소기업에서 필수적으로 조치를 취해야 하는 체크리스트를 따로 마련해 보고자 합니다.  결국 어떠한 자료라도 그것을 어떻게 활용할 것인가에 따라 좋은 자료가 될수도 있고, 그냥 pc에 저장되어 용량만 차지 하는 자료가 될 수 있습니다. 


처음에는 부족하지만 수정보완 하면서 현실에 맞는 , 그리고 현장의 실무진의 의견이 반영된 자료가 되면 그 의미가 높다고 하겠습니다.  하나 하나씩 만들어 나가겠습니다...^^ 개인정보보호 중요성에 다 같이 동참 하였으면 좋겠습니다..   보다 많은 개인정보보호 자료는 개인정보보호길라잡이  (http://cafe.naver.com/privacyguide ) 참고 하시면 되겠습니다. 감사합니다. ^^






신고
Posted by 엔시스


정보통신망법 개정으(2012.08.18)로 인하여 주민등록번호 원칙적 수집금지가 이루어졌습니다. 우선 법은 이미 시행이 되었구요. 내년 2월18일까지 6개월간 계도기간을 거쳐 본격적인 행정적 처분이 이루어질 예정입니다. 




                                         출처: 매일경제,  2012년12월10일자 3면



내년 2월부터는 이용자의 개인정보중에서 주민번호는 이제 수집 할 수 없도록 법에 명시가 되어 있습니다. 따라서 지금부터 사전 작업을 준비하실 분들은 해야 되겠습니다.


예를들면 쇼핑몰같은 경우에도 굳이 주민번호를 사용하지 않더라도 이용가능함에도 불구하고 습관적으로 수집하는 관행을 버리지 못하는 경우가 있습니다. 그러면 해당 사업자들은 주민번호가 있어야 구별이 가능하고 업무가 편리하기 때문에 반드시 있어야 한다고 주장을 하고 있습니다.


그러나 관련기관에서는 이러한 주민등록번호가 유출 되었을시에 파급효과를 감안한다면 이제는 원칙적 수집금지령을 내린 것입니다. 


그 이유는 아무리 잘 보관 관리 한다고 해도 수집을 하지 않는다면 원천 차단할 수 있기때문에 피해도 줄어 들 수 있겠지요., 외국 사이트에 회원 가입을 해 보면 알겠지만 간단한 아이디와 이메일 인증만으로도 쉽게 회원 가입을 할 수 있고 최근에는 트위터나 페이스북 같은 것과 연동하여 회원 가입을하게 되어 있어 상당히 편리한 절차로 되어 있어 과도한 개인정보에 대한 수집이 이루어지지 않습니다.


하지만 국내의 경우에는 여러가지 환경과 조건을 이유로 주민등록 번호에서부터 과도한 개인정보를 수집하는 것이 관행이 되어 버렸습니다. 하루 아침에 이 모든 것이 변화되고 바뀌어 지리라고는 생각하지 않지만 정부에서 이러한 국민의 개인정보 자기결정권과 권리 강화를 위하여 진행하는 만큼 어쨌든 앞으로의 향후 방향은 이런식으로 진행 될 것이라는 예측을 할 수 있습니다.


따라서, 자꾸 안된다고 거부 반응을 보이기 보다는 조금 적극적인 자세로 주민번호 등록 수집을 하지 않던지 아니면 수집을 하더라도 법적인 요건과 동의를 철저히 받고 법의 준거성을 이용하여 비지니스에 활용을 해야 할 것입니다.


내년 2월 이후에 과태료를 맞지 않으려면 현재 어떠한 이슈 사항이 있는지..어떠한 법률과 제도가 시행이 되는지에도 많은 관심을 가져야 합니다. 지금부터 준비하셔서  법을 어기는 일이 없도록 해야 겠습니다. 궁금한 사항이 있으시면 댓글 달아주시면 답변 드리겠습니다. 이상 끝.




신고
Posted by 엔시스

방송통신위원회는 지난 2일 개인정보보호 관리체계(PIMS) 인증기준이 세계최초 국제 표준 신규 과제로 채택이 되었다는 보도자료를 내었습니다.


PIMS라는 것은 개인정보보호관리체계로서 개인정보보호에 대한 체계적인 관리가 잘 되어 있는지를 리스트에 따라 인증을 해 주는 국내 심사기준입니다.




보도자료에 따르면 10월 22일부터 27일까지 로마에서 열린 ISO/IEC JTC1/SC27 (국제 표준화 기구/ 국제전기표준회의 합동기술 위원회 1/연구그룹 27) 회의에서 한국이 제안한 신규표준화 과제인 " 개인정보보호 관리체계를 위한 지침"에 대한 제안이 채택이 되어 국제무대에서 개인정보보호 관리체계에 대해 한국이 주도권을 잡을 수 있을 것이라고 보도 하였습니다.


반가운 소식이고 과제를 진행하는 순천향대학교 염흥열 교수님이 지정이 되셨네요. 무엇보다 개인정보보호법이 시행이 되고 이에 대한 체계적인 틀을 국제적인 수준으로 높이고 경쟁력을 강화 할 수 있는 좋은 기회가 될 듯합니다. 


보도자료 전문 첨부 합니다. 조금 늦게 접하게 되었지만 올려 봅니다.. 준비하신 관계자분들 수고 하셨습니다.^^



개인정보보호_관리체계_국제표준_채택_자료(11.2) (1).pdf





신고
Posted by 엔시스

개인정보보호 상담사례집입니다. ^^ 



개인정보보호법 일반

  1. 개인정보보호법에서 보호하는 개인정보는 구체적으로 어떤 정보인가요? / 13
  2. 이메일과 닉네임만 수집해도 개인정보로 볼 수 있나요? / 14
  3. 시군구에 자동차과태료 검색 웹페이지에서“이름 + 주민등록번호 앞자리 + 차량번호“ 3가지를 맞게 입력하면 해당 차량에 대한 과태료가 검색됩니다. 개인정보에 해당될까요? / 14
  4. 개인정보보호법 시행으로 개인정보 보호의무를 지는 대상, 즉 적용 대상 및 범위가 달라지나요? / 14
  5. 개인정보보호법에서는 개인정보파일의 범위가 확대된다는 말이 있던데 기존과 다른가요? / 15
  6. 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 중에 어느 법이 더 우선적용 되나요? / 15
  7. 영리법인이 아닌, 후원, 기부 재단의 경우에도 개인정보보호법 적용 대상인가요? / 16
  8. 개인정보보호법에서 말하는 공공기관의 범위는 어디까지 인가요? / 16
  9. 개인정보보호법 적용에서 일부 제외되는 경우는 어떤 경우인가요? / 18
  10. 동창회, 동호회 등 친목도모 단체의 적용이 일부 제외되는 조항은 몇 조 인가요? / 19

개인정보의 수집, 이용, 제공

  1. 홈페이지 구인게시판에 게시물 작성자가 본인의 필요에 의해서 휴대전화번호를 기재하는 경우 개인정보를 수집하게 되는 것인가요? / 20
  2. 졸업앨범에 있는 개인정보를 수집하여 전화 TM 등에 활용해도 되나요? / 20
  3. 기업정보를 수집하여 활용하는 것도 개인정보보호법상 동의를 받아야 하나요? / 20
  4. 쇼핑몰에서 비회원 주문이나 게시판의 경우도 개인정보 수집동의를 받아야 한다고 하던데요. 이름과 이메일 2가지 정도만 수집하더라도 동의를 받아야 하나요? / 21
  5. 신규로 직원들을 뽑을 때 이력서에 개인정보 수집 동의를 받아야 하나요? / 21
  6. 만14세 미만 아동의 법정대리인을 포함한 정보주체의 동의를 받는 방법에는 어떤 것이 있나요? / 22
  7. 병원에 방문한 만14세 미만 아동에게도 법정대리인의 동의를 받아야 하나요? / 22
  8. 병원에 내원한 환자들에 대해서도 개인정보 수집 동의서를 받아야 하나요? / 23
  9. 동호회의 경우 이름과 연락처 정도 수집이 되는데 이때 모두 동의 받아야하고, 이 데이터를 컴퓨터에 저장시 암호조치를 해야 하나요? / 23
  10. 종교단체가 선교목적으로 개인정보를 동의 없이 수집할 수 있나요? / 24
  11. 관공서에서 행사가 있을때 초청장을 보낼 때도 동의서를 받아야 하나요? / 24
  12. 공공기관에서 개인정보를 포함하여 게시하는 경우가 있는데 이럴 경우에도 어떤 조치를 해야 하나요? / 24
  13. 벌과금 등 관련한 공시송달 공고를 검찰청 홈페이지“고시/공고”란에“성명, 징제번호, 등기번호, 수령여부”네 가지 항목을 포함하여 게시할 경우, 개인정보보호법에 저촉되나요? / 25
  14. 개인정보보호법 제15조 제2항 제4호의 내용에“동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용”을 기재하여야 한다고 했는데 불이익의 내용에 신청 또는 이용 불가라고 기재하여도 위법은 아닌가요? / 25
  15. 개인정보보호법 제15조 제3항에 보면“공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우”라고 되어있습니다. 여기서, 법령 등의 범위와 불가피한 경우란 무엇인가요? / 26
    공공기관인데 감사부서나 상급기관에서 감사 목적으로 개인정보의 제공을 요청하는데 동의 없이 제공할 수 있나요? / 27
  16. 수기로 작성된 신청서를 바탕으로 전산시스템에 등록하여 실적 등을 관리하게 되는데, 신청서에 등록에 대한 안내를 넣으면 신청서에 있는 개인정보를 전산시스템에 등록 및 활용하는 것이 가능 한가요? / 27
    종이계약서를 작성하는 사업자의 경우 계약의 이행을 위해서 주민등록 번호를 수집할 경우에도 정보주체의 별도 동의가 필요하나요? / 28
  17. 학교에서는 행사에 참여하는 학생의 사진, 학교명과 이름을 팜플렛 에 넣거나 학교 홈페이지에 학생들의 생활 사진이나 행사와 관련된 사진 등을 게시하게 되는데, 개별적으로 학생들의 동의를 받아야 하나요? / 28
    개인 블로그 등에서도 개인정보 수집이 이루어지는데 이 경우에도 동의절차 및 보호조치를 만들어야 하나요? / 29
    오픈 마켓에서 물건을 판매하는 업체인데, 수집할 때 별도의 동의 없이 휴대전화번호만 받는 것도 문제가 되나요? / 29
  18. 교육접수가 중복되는 것을 방지하기 위해 접수시에는 생년월일과 성별까지만 수집을 하고, 실제 교육을 신청할 때에는 이름만 받고자 할 경우 동의가 없어도 되나요? / 29
  19. 개인정보를 제3자에게 제공할 수 있는 방법이 있나요? / 30
  20. 자체 수집한 정보가 아니고 다른 기관에서 입수한(제공받은) 자료도 활용이 가능한가요? / 31
  21. 개인정보 처리업무 위탁에 대한 원칙 및 방법은 무엇인가요? / 31
  22. 내부 직원에 대한 교육을 외부 업체에 위탁할 때 위탁에 대한 동의 를 받아야 하나요? / 32
  23. 재개발을 하기 위하여 주민자치회에서 주민들의 의견을 수렴하기 위해 기존에 수집한 개인정보(이름, 주민등록번호, 주소, 전화번호)를 이용하여 우편물을 발송해도 되나요? / 32
  24. 퇴사한 직원에 대한 근무기록 등은 퇴사 후 몇 년간 보관하면 되나요? / 33
  25. 채용을 위해서 개인정보를 수집하고 퇴직하고 나서 개인정보를 20년 동안 보유한다는 것에 동의를 받으면 문제가 없나요? / 33
  26. 개인정보 수집동의서를 받아서 처리할 경우 동의서 내용에 보유 및 이용기간은 개인정보처리자의 필요에 의해 보유기간을 정하면 되는 건가요? / 34
  27. 서비스 계약과 관련하여 개인정보 보유기간 설정을 어떻게 해야 하나요? / 35
  28. 개인정보의 파기 시기 및 방법은 어떻게 해야 되나요? / 35
  29. 개인정보 파기시 예외 경우가 있나요? / 35
  30. 쇼핑몰에서 탈퇴한 회원들의 개인정보를 파기하려고 하는데, 일부 회원들은 할부 요금이 아직 미납되었거나 제품 A/S 기간이 남아 있습니다. 이러한 경우에는 어떻게 해야 하나요? / 36
  31. 개인정보를 정정∙삭제 요청할 수 없는 경우도 있나요? / 36

          출처: 보호나라


신고
Posted by 엔시스

 

오늘자  한국일보 08면에  "포털 ,카카오톡 개인정보 영장있어야 제공" 한다는 제하의 기사를 보고 분석을 해 보고자 합니다. 자세한 사항은 아래 캡쳐 화면을 클릭해 보시거나 아래 관련 기사 링크를 참고 하시길 바랍니다.

 

 

 

 

관련 기사

http://news.hankooki.com/lpage/economy/201211/h2012110121080821540.htm

 

 

관련기사에 따르면 '회피 연아' 동영상 관련하여 유장관측이 명예훼손으로 고소하였고, 여론이 거세어지자 취하하였다. 그런데 고소당한 당사자는 다시 네이버를 상대로 경찰에 개인정보 제공에 대한 손해 배상 소송을 제기 하였다.

이에 법원에 판결은 차씨의 손을 들어 주었다. 50만원의 손해배상을 지급하라고 판결하였다.  여기까지가 팩트입니다.

 

 

1. 네이버는 어떤 근거로 개인정보를 경찰에 알려 주었을까?

 

개인정보 제공한 근거조항은 바로 '전기통신사업법' 83조 3항에 따라 제공함. 그럼 전기통신 사업법 83조 3항에는 무엇인가?

 

 

   ① 누구든지 전기통신사업자가 취급 중에 있는 통신의 비밀을 침해하거나 누설하여서는 아니 된다.

② 전기통신업무에 종사하는 자 또는 종사하였던 자는 그 재직 중에 통신에 관하여 알게 된 타인의 비밀을 누설하여서는 아니 된다.

전기통신사업자는 법원, 검사 또는 수사관서의 장(군 수사기관의 장, 국세청장 및 지방국세청장을 포함한다. 이하 같다), 정보수사기관의 장이 재판, 수사(「조세범 처벌법」 제10조제1항·제3항·제4항의 범죄 중 전화, 인터넷 등을 이용한 범칙사건의 조사를 포함한다), 형의 집행 또는 국가안전보장에 대한 위해를 방지하기 위한 정보수집을 위하여 다음 각 호의 자료의 열람이나 제출(이하 "통신자료제공"이라 한다)을 요청하면 그 요청에 따를 수 있다.

1. 이용자의 성명

2. 이용자의 주민등록번호

3. 이용자의 주소

4. 이용자의 전화번호

5. 이용자의 아이디(컴퓨터시스템이나 통신망의 정당한 이용자임을 알아보기 위한 이용자 식별부호를 말한다)

6. 이용자의 가입일 또는 해지일

④ 제3항에 따른 통신자료제공 요청은 요청사유, 해당 이용자와의 연관성, 필요한 자료의 범위를 기재한 서면(이하 "자료제공요청서"라 한다)으로 하여야 한다. 다만, 서면으로 요청할 수 없는 긴급한 사유가 있을 때에는 서면에 의하지 아니하는 방법으로 요청할 수 있으며, 그 사유가 해소되면 지체 없이 전기통신사업자에게 자료제공요청서를 제출하여야 한다.

 

2. 그럼 개인정보보호법에는 어떻게 나와 있을까?

 

 

① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.

 

② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.

 

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 재판업무 수행을 위하여 필요한 경우

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

 

 

 

3. 판결은 어떻게 났는가?

 

네이버는 차씨에게 50만원의 손해 배상 금액을 지급하라 

 

4.  포털과 .카카오톡의 대응은 ?

 

이제 범죄 수사시에도 수사 기관의 협조차원에서 제공하게 되면 소송에서 패소 하게 되기 때문에 "영장"을 제시해야만 개인정보를 제공 하겠다고 표명..

 

 

5. 결론

 

대법원 최종 판결이 남아 있지만 이번 판결로 인하여 수사기관은 범죄 수사를 하기 위하여 복잡한 절차를 밟아야 할 것으로 예상이 됩니다. 또한 공공기관의 경우에는 개인정보보호법에 의하여 개인정보를 범죄 수사 목적으로 제공할 법적 근거가 있지만 법원이 전기통신사업법에 근거하여 제공한 개인정보는 잘못된 것이라 판결 하였기 때문에 민간 기업은 범죄 수사시에도 영장 없이는 제공 하지 않겠다고 표명하게 된 것입니다.

 

만약, 이 사건이 한명이니까 50만원이지만 기사에 따르면 작년에 통신사가 수사기관으로부터 정보제공 요천건수가 580만건이라고 합니다.  금액으로 따지면 2조 9천억원 정도 되는군요..

 

6. 향후 방향

 

 

 

 

 

전기통신사업법은 특별법으로 개인정보 제공이 가능하지만 의무를 부과 하지 않았다는 헌법재판소 위헌심사에서도 제기 되었다고 하니 이는 개인정보보호법에 의한 특별법 우선에도 부합하지 않고 전기통신사업법이 개정이 되어 개인정보 제공에 대한 의무도 부과 하도록 하던지 아니면 민간도 개인정보보호법 제18조에 포함을 시키던지 해야 할 것이입니다. 개인정보보호법과의 법적 충돌에도 대안이 마련이 되어야 할 것입니다. 대법원 최종 판결이 어떻게 날지 귀추가 주목됩니다.

 

 

 

 

 

신고
Posted by 엔시스

본 포스팅은 2012부산IT엑스포를 개인정보보호 관점에서 포스팅한 것임을 알려 드립니다. -주인백

 

제2의 도시부산. 해양과 항만의 도시 부산, 관광의 도시, 해운대, 광안리, 자갈치.. 하지만 IT와는 사실 그리 많은 관련이 있는 도시는 아닙니다. 그러나 유일하게 IT관련 엑스포 전시회가 매년 열리고 있어 지역에 많은 도움과 활성화에 기여를 하고 있습니다.

 

그런고로 필자도 가까운 곳에서 열리는 만큼 잠시 시간을 내어 방문하였습니다.  전시회는 늘 그렇듯이 부스관람보다는 컨퍼런스 세미나에 더 관심이 간 것이 사실이었습니다.

 

그렇게 해서 벡스코 첫 입구에서 세미나 장으로 달려갔습니다. 1시 시작으로 착각하고 갔었지만 1:30분부터 시작이라 조금 시간적 여유가 있었습니다.

 

 

 

 

 

1.  개인정보보호법 제대로 준수하는 곳은 한곳도 없어

 

첫번째 관문은 세미나 듣기 위해서는 사전등록을 신청서를 작성하여 주면 목에 tag 을 달아 자신이 누구인지를 확인 할 수있도록 해 줍니다. 최근 개인정보보호법이 이슈이고 대세여서 한번 신청서를 살펴 보았더니 개인정보 수집은 많이 하고 있지만 그 어느곳에서도 개인정보보호법을 준수하는 항목은 아무리 눈 찾고 봐도 없었습니다. 심지어 법을 비웃는듯한 느낌마져 들었습니다. 최소한 국내 최대 행사를 치른다고 언론에서 보도 하기 전에 법 준수를 해야하고 이러한 부분에 있어서 신경을 쓰지 않았다는 느낌을 바로 받을 수 있었습니다.

 

왜냐하면 수집내용이 마케팅 용도로 사용될 수 있을 것이라는 것을 신청서를 보고 알수 있었으니까요.

 

그래서 인포에 물어 보았습니다.

 

"혹시 이 행사어디에서 진행하시나요?"

"부산광역시와 블라블라블라~~~~"

"왜 개인정보 수집항목과 선택항목 동의 구분이 없는데요? 꼭 적어야 하나요?"

"전 잘 모르겠는데요"

"그럼 합법적이지 않은 개인정보수집에는 동의하지 않겠습니다"

 

인포관계자는 의아해하고 그냥 원하는대로 해 줍니다. 주변에서 지켜 보았을때 다른 사람들은 아주 열심히 빽빽하게 개인정보를 넘겨 주고 있었습니다,

 

2. 부스 행사 사전등록에도 개인정보 수집 법 준수는 저리가라~~

 

컨퍼런스 시작시에 잠시 시작과 행사 안내와 기조연설을 듣고 머무를 시간이 없어 빨리 부스로 향하였습니다. 수많은 학생이 운집해 있고, 그 사이를 비집고 갔더니 사전등록신청서를 작성해 와야 한다고 하였습니다. 다시 신청서를 작성합니다.

 

이번에도 신청서 작성을 하는데 개인정보 수집에 대한 법 준수는 찾아 볼 수 없습니다. 마지못해 몇줄 들어간 개인정보에 대한 이야기는 이메일 보낼까 말까 정도 수준이었습니다. 그리고 참가한 업체에 개인정보가 넘어 갈수 있다는 내용도 있었습니다.

 

간단한 소속과 이름만 적고 접수자에게 주었습니다. 그런데 휴대폰 번호를 적지 않았더니 적으라고 합니다. 개인정보 수집에 동의할수 없다고 하니 무조건 적으라고 난색을 표합니다. 사람들이 줄을 많이 서서 기다리고 있어 어쩔수 없이 휴대폰 번호를 불러 주었습니다. 거의 반 강제적으로 정보를 수집하더군요.. 이 사람들이 개인정보보호법에 대한 무지하구나..

 

아무도 행사전에 교육이나 사전 안내를 하지 않았구나..또는 이 행사의 목적은 많은 방문 한 사람들의 정보를 수집해서 행사에 참여한 업체에게 정보를 넘길수도 있겠구나..하는 생각이 스쳐지나갔습니다.

 

 

3. 대형 컨퍼런스 행사, 엑스포 행사 관계자분들께.

 

아마도 타 행사에도 마찬가지일 것이라는 생각이 듭니다. 몇몇 행사장을 찾아가 보았지만 대동소이 하였습니다. 행사를 원만하게 진행 하기 위해서는 빨리 효율적으로 대응해야 하는 면도 있습니다. 하지만 신청서등에서 개인정보 수집시에는 반드시 현행 법적 요구조건을 구비하여야 합니다.

 

또한 대부분 신청서를 접수하면 그 정보를 개인정보처리시스템에 다시 입력을 하고 그 입력된 정보는 어느서버에선가 수집이 되었을 것입니다.

 

방문객 몇십만명이 방문하였다고 대대적으로 홍보하기 보다는 그 많은 사람들 개인정보를 수집하여 영업, 마케팅에 활용하려는 꼼수는 아닌지 다시 한번 문의해 봅니다. 물론 그렇게까지 비약할 필요는 없겠지만 몰랐으면 몰랐다고 솔직히 시인을 하고 현행 법 준수를 다시 한번 촉구 합니다.

 

 

개인정보보호법이 시행되고 있습니다. 정보통신망법도 개정 시행이 되고 있습니다. 법은 지키지 않으면 존재할 가치가 없는 것입니다. 이해관계자가 소송으로 가거나 침해신고나 분쟁조정을 하였을때에는 감정적, 이성에 호소하지 않습니다. 다만 법률을 얼마나 잘 지켰는지가 관건이 됩니다. 지금 관행으로는 자칫 집단소송이나 손해배상으로 가면 행사 이미지와 관계자 업무 과실이 인정이 될 가능성이 다분히 높습니다. 조금 더 관심을 가지고 행사가 성황리 잘 이루어졌다고 자화자찬 하기전에 이제는 개인의 인격적인 부분인 개인정보수집을 함부로 해서는 안될 것입니다.

 

끝으로 2012 부산IT엑스포 준비한 관계자 분들께 수고 많으셨다는 이야기를 전하면서 다음행사시에는 반드시 개인정보수집에 대한 지침이나 수립이 되어 있으면 더 멋진 행사가 되지 않았을까 하는 마음을 가져 봅니다. 조금 더 자세한 허와실은 보안인닷컴 e-매거진 [보안人] 16호에 자세히 취재 기록할 예정입니다. @엔시스

 

 

 

 

 

신고
Posted by 엔시스

정보통신망 이용촉진 및 정보보호등에 관한 법률 개정에 따라 내일 8월18일부터 주민등록번호를 망법 적용대상자는 수집하면 안됩니다. 아마도 모르고 계시는 분들이 대부분일듯 하여 포스팅 하여 봅니다. 참고 하시고 주위에도 널리 널리 알려 주시면 감사하겠습니다.  조금 민감한 사안의 법이나 제도에 대해서는 알아 둘 필요가 있습니다. 



1. 정보통신망법 개정 시행 -8월 18일




                                          사진출처: http://www.i-privacy.kr/jsp/user/private/consulting.jsp



개정안 법률을 보면 위 그림에 있는 것이 핵심 내용이다. 관련된 내용에 대하서는 아래 기사를 자세히 읽어 보면 도움이 될 것이다.



http://www.boannews.com/media/view.asp?idx=32538&kind=1 



이제는 가지고 있던 주민등록번호도 2년 이내에 폐기해야 하며, 개인정보 유효기간제로 인하여 3년동안 로그인이 없는 계정은 삭제처리 할 수 있다.  또한 개인정보 100만명 이상 사이트에 대해서는 개인정보 이용내역을 통지해 주어야 한다. 


그 다음 정보보호 사전점검 정보보호 최고 책임자를 지정하여 보안 담당자에게만 책임을 묻던 것을 책임자 지정으로 부담을 함께 지게 되었다. 조금은 업무에 탄력을 받을 듯 하다.


또한 , 안전진단 폐지로 정보보호관리체계가 안전진단 의무 업체는 isms 인증심사를 받아야만 한다. (2013.2.18일부터)..



주민등록번호 수집과 불가에 대한 기사내용입니다.


http://www.dailysecu.com/news_view.php?article_id=2759  참고 하세요.



이러한 변화점을 직시하고 각 관련된 업무를 하는 담당자분들은 피해가 없길 바란다. 아마도 일부 호스팅 하거나 영세 업체등에서는 과연 얼마나 알고 있을지 의문시 된다.


정부에서 대대적인 홍보와 교육,.그리고 인식제고를 해 주면 좋겠다라는 생각이 드네요...아무튼 이 블로그 포스팅을 보는 분들은 참고 하여 주민등록번호 수집 원칙적 금지에 대한 내용을 숙지 하면 좋겠군요...즐거운 주말 보내세요.



다시 한번 강조합니다. 이젠 주민등록번호 원칙적 수집금지입니다.   




신고
Posted by 엔시스

지난 주말 9시를 기점으로 하여 모 이통사 개인정보 유출이 언론에 대대적으로 보도가 되었습니다. 관련하여 사회적 책임 그리고 기업의 신뢰도 , 주가에 대하여 살펴 보도록 하겠습니다. 한편으로는 이번에 통신사 같은 경우에는 상당한 조직과 보안을 하는데 100% 완벽한 보안은 없다는 것에 있어서는 조금 이해할 필요가 있습니다. 그것이 변명이 될수는 없겠지만..

 

필자는 그동안 개인정보의 중요성에 대하여 인지 하였고, 이는 기관이나 기업 자산을 보호하는 것과는 사상을 달리한다는 이야기를 많이 했습니다. 무슨 말인가 하면 일반적인 보안이라고 하면 혹은 정보보호라고 하면 기관이나 기업의 자기 자산에 대한 보호를 의미 합니다. 그러니 손해를 보아도 기업과 기관 즉 피해를 입은 주체는 바로 자신이됩니다. 하지만 개인정보는 기업과 기관의 자산이 아닙니다. 정보주체로의 개인정보이기 때문에 각 주체의 정보를 잠시 빌리는 것일뿐입니다.

 

그러니 이러한 개인정보에 대하여 기관과 기업이 신경써야 하는 것은 당연한 것입니다. 그러나 지금까지 수 많은 개인정보를 수집하는 것이 결국 기업의 자산이고 공공기관은 수많은 정보를 보유하고 있기 때문에 더욱 더 신중해 질수 밖에 없습니다. 이런 필요사항때문에 개인정보보호법이 제정이 되고 정보통신망법 등 특별법이 강화되고 있습니다. 그 근본적인 차이와 속성 그리고 본질을 한번 이해하는 것이 중요합니다.

 

 

1. 모 이동통신사 개인정보 유출

 

사건개요: 모 이동통신사에서 개인정보가 870만건이 유출 되는 사건이 발생하였습니다. 최근 스마트폰이 IT의 주요 먹거리로 자리잡다보니 그에 따른 비지니스도 활발하게 일어나고 오프라인 매장을 보아도 동네 몇발자국 건너서 휴대폰 판매점들이 즐비하게 있습니다. 호객행위도 일삼고요. 그 가운데 전화로 하는 마케팅 (TM: 텔레마케팅)을 하기 위해서는 휴대폰 번호가 필요합니다. 아무리 랜덤하게 돌렸다고 핑계를 대어도 사실 무작위로 돌려 전화를 거는 것은 한계가 있을 것입니다. 이런 과정에서 고객정보시스템에서 5개월에 걸쳐서 개인정보를 유출 한 사건입니다. 유출한 항목으로는 주민번호,이름, 주소 및 10종에 달한다고 하니 개인정보 유출 사건으로는 크다고 보겠습니다.

 

 

2. 기업의 주가 변화

 

현재 시점 종합주가지수입니다. 코스피 , 코스닥 모두 상승장입니다.

 

 

 

 

개인정보 유출 통신사 주가지수입니다.  9시30분기준  -3% 하락세를 보이고 있습니다.

 

                       <오전 9시 26분 기중  -3.18% 하락세>

 

 

 

 

                     <오전 9시 52분 기준  -3.79% 하락>

 

 

관련 뉴스에도 '고객정보 유출' 때문에 약세로 보인다는 언론 보도도 있습니다. 무엇을 의미할까요?

 

 

3. 개인정보를 보호한다는 것은 '사회적책임'과 신뢰문제

 

사람들은 대기업에서 이러한 문제가 유출이 되면 상당한 배신감이나 실망을 하게 됩니다. 그리고 모든 언론보도와 SNS을 통하여 여론몰이가 됩니다. 그리고 해당 기업에 여러가지 반론을 제시하고, 대체재가 있을땐 그 대체재로 갈아 탈 가능성이 많아 졌습니다. 굳이 그 상품이나 서비스를 이용하지 않더라도 자신의 정보를 잘 관리해 주고 신뢰감을 주는 기업으로 옮겨 간다는 것입니다. 그것은 입장을 바꾸어 놓고 보면 마찬가지일 것입니다.

 

주가가 변한다는 것은 그만큼 회사의 신뢰감을 잃었다는 것입니다. 기업이 고객에게 신뢰를 잃는다는 것은 치명적인 것입니다. 무엇보다 비지니스에서는 신뢰가 중요하니까요. 그런측면에서 앞으로 해당 이통사에 대응방안에 모든 사람들이 주목하게 될 것입니다.

 

 

4. SNS에서의 반응

 

트위터,페이스북 등 각종 SNS에서는 이미 유출이 왜 되었을꺼라는 반응들을 쏟아 내고 있습니다. 그것은 너무나 많은 텔레마케터들에게 스마트폰 변경하라는 전화를 받았기 때문입니다. 그럴떄마다 제 휴대폰 번호는 어떻게 알게 되었냐고 물으면 랜덤하게 했다는 것이나, 그냥 뒷자리만 돌렸다는 매뉴얼적 답변을 받아도 정보주체인 나는 아무런 말을 못하였는데 알고 보니 , 이러한 것들이 모두 개인정보 유출에 따른 마케팅의 일환이었다는 사실에 분노하고 있고 해당기업을 향한 배신감과 신뢰감을 잃게 된다는 반응입니다.

 

 

 

5. 어떻게 해야 하나? 

 

그럼 어떻게 해야 하나? 정보주체와 개인정보처리자 입장에서 한번 살펴보겠습니다. 먼저 대책을 세워야 하는 것이 개인정보처리자 입장이니 먼저 이야기 해 보겠습니다.

 

  • 개인정보처리자 - 개인정보처리자는 잃어버린 신뢰를 되 찾기 위하여 모든 총력을 기울여 피해를 최소화 하여 성심성의껏 경찰 수사에 협조를 하고 그 과정을 투명하게 정보주체에게 알려야 할 것입니다. 런던 올림픽 특수로 인하여 시선을 회피해서는 안됩니다. 개인정보처리자 입장에서 마음이야 충분히 이야하지만 870만건이라는 개인정보 유출은 어떠한 식으로라도 변명의 여지는 없을 것입니다. 따라서 성실하게 수사 발표와 그 다음 대책과 방안을 모든 채널을 동원하여 성실한 자세로 알리고 임해야 할 것입니다. 만약 그렇지 않는다면 이번 사건을 계기로 많은 신뢰를 잃는다면 장기적인 기업의 매출과 비지니스에 타격을 입게 될 것입니다. 그런 사례가 되지 않도록 노력하는 자세가 중요합니다. 10사람이 도둑 한 사람 못지킨다는 것과 같이 100% 완벽한 보안은 없다는 사실도 조금은 이해를 해야 하는 부분도 알려야 겠습니다. 쉽지 않겠지만.
  • 정보주체 - 정보주체는 약자의 입장에 서 있습니다. 관련 추이를 지켜보면서 자신의 정보주체로서의 소중한 권리를 행사 할 수 있습니다. 관련 법에 근거하여 권리 행사를 할 수 있고, 열람,정정,이용정지등에 따른 절차도 가능합니다. 다만, 정보주체는 가지고 있는 정보력이 없기 때문에 수사 발표와 대응에 따라 각자 행동하면 되겠지요.

 

결론

 

인터넷의 발달과  다양한 매체의 등장으로 이제는 정보 전달력이 그만큼 빨라졌고 쉽게 접하게 되었습니다. 비밀이란 없는 시대에 살고 있고, 그것은 빠르게 퍼져 나가게 됩니다. 그런 시대에 보안의 트렌드도 점차 빠르게 변하고 있습니다. 인프라가 적었던 시절에는 인프라 확산에 주력을 하였고, 수작업으로 하던것을 정보화를 통하여 효율적으로 처리하려고 했습니다. 이제는 정보를 처리를 하던 단계를 넘어서 정보를 보호하거나 보안하여야 하고 복잡한 인프라를 체계적으로 관리를 해야 하는 쪽으로 흐름이 바뀌고 있습니다.

 

이러한 체계적인 관리가 되지 않으면 사건 사고가 일어나고 그것은 곧 사회적 책임과 고객에게 신뢰를 잃게 되는 상황으로 바뀌었습니다. 이러한 변화를 인지 하지 못하고 아직까지도 보안은 비용이라는 생각과 굳이 보안을 해야 하는가? 고객의 정보는 기업의 영업력을 키우는 잣대로 생각하는가? 라는 부분에 대해서는 의문을 가져야 합니다. 그만큼 필요하다면 잘 관리를 해야 한다는 책임도 따르게 된다는 것입니다. 그렇지 않으면 이제는 시장에서 철저하게 차별이 되여 개인정보를 잘 관리하는 기업과 그렇지 못한 기업으로 나뉘게 되고 주가는 하락을 하고 신뢰도 회복에는 많은 시간을 다시 투여하고 비용을 투자해야 할 것입니다. 고객의 소중한 개인정보는 자신이 아닌 잠시 빌려 쓰는 것입니다. 안전하게 사용하고 다시 돌려줄 의무와 책임이 있습니다. 이번 유출사건을 계기로 개인정보의 소중함을 다시 일깨우는 기회가 되었으면 하는 바램을 가져 봅니다. 또한 이 사건이 런던 올림픽으로 소리 소문없이 묻혀서는 안될 것입니다. @엔시스.

 

 

 

 

 

 

신고
Posted by 엔시스

오늘은 5월15일 스승의 날입니다.  페북에 어떤 지인이 교육청에서 스승을 찾을 수 있다고 하여 스승찾기를 시도하다가 아직도 주민번호 대체 수단이 되어 있지 않은 교육청을 발견 하였습니다. 개인정보보호법이 시행되고 있어도 아직도 갈길이 멀다라는 느낌이 듭니다. 공공기관이 더 빨리 움직여야 겠습니다.

 

 

 

 

 

 

 

 

 

 

 

실명 인증을 하고 있는 곳도 있고, 그렇지 않는 곳도 있고, [ 공공기관 개인정보보호법률] 은 폐지 되었음에도 불구하고 아직도 과거의 법률을 근거법으로 하여 올려져 있는 곳도 있습니다.

 

 

 

 

주민번호 대체수단인 아이핀도 회원가입이 아닌 게시판에 적용 된곳도 있고, 아니면 회원 가입에 적용 된 곳도 있고 각 기관에 따라 적용 기준도 모양도 다르게 되어 있습니다.

 

 

 

어떤 곳은 아예 홈페이지를 통한 개인정보 수집은 받지 않는다고 명시하고 있습니다. 법의 취지를 잘 이행하고 있는 곳인듯 합니다. 잘 보관하지 못할 개인정보는 아예 수집하지 않는 것이 법의 취지이고 바람직한 현상입니다.

 

 

 

조치사항

 

1. 개인정보보호법 시행령

 

제20조(주민등록번호 외의 회원가입 방법 제공의무자) ① 법 제24조제2항에 따라 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법(이하 "대체가입수단"이라 한다)을 제공하여야 하는 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 자를 말한다.

1. 공공기관

2. 공공기관 외에 인터넷 홈페이지를 운영하는 개인정보처리자로서 전년도 말 기준 직전 3개월간 그 인터넷 홈페이지를 이용한 정보주체의 수가 하루 평균 1만명 이상인 개인정보처리자

② 행정안전부장관은 제1항에 따른 대체가입수단 제공과 관련하여 다음 각 호의 사항을 인터넷 홈페이지에 게재하여야 한다.

1. 제1항에 따라 대체가입수단을 제공하여야 하는 개인정보처리자의 명칭 및 인터넷 홈페이지 주소

2. 제공할 수 있는 대체가입수단의 종류 및 내용

3. 대체가입수단의 제공 기한


 

위 규정에 따라 현재 위 교육청은 개인정보보호법 위반을 하고 있습니다. 주민번호이외에 대체수단을 통한 홈페이지 가입이 될 수 있도록 빠른 조치가 불가피 해 보입니다.

 

 

2. 회원가입에 따른 스토리보드 표준화 시급

 

민간이든 공공이든 홈페이지를 통한 회원가입을 하여 개인정보 수집시에는 각 기관마다 혹은 공공과 민간으로 나누어 주민번호 대체수단을 적용하는 페이지를 세부적으로 규정하여 일관성 있게 규정 하도록 하는 것이 시급해 보입니다.

 

 

 

신고
Posted by 엔시스

KISA, 개인정보 암호화 구현 방법 쉽게 이해할 수 있는 안내서 발간

 

최근 대형 개인정보 유출사고의 발생 빈도가 잦아지고 개인정보보호 관련 법이 강화되면서 기법, 공공기관은 물론 소규모 개인 사업자들까지 암호에 대한 관심이 높아지는 가운데, KISA가 개인정보의 안전한 저장을 위해 암호기술을 구현하고자 하는 업계 실무자에게 암호기술 구현 방법을 쉽게 알려주는 '암호기술 구현 안내서'를 11월 29일 발간했다. KISA는 보다 다양한 정보를 제공하고자 지난 8월부터 이동통신사, 주요 포털사이트 및 개임 업체 등의 실무담당자들과 한국암호포털 등 암호기술 관련 전문가들의 경로를 거쳐 안낸서를 제작하게 됐다.

 

 

 

이번에 KISA가 발간한 ‘암호기술 구현 안내서’는 ▲암호화가 필요한 개인정보의 종류와 이에 대한 법적 근거 ▲개인정보별로 적용이 필요한 암호기술 및 적용 시나리오 ▲암호키 관리 방법 ▲안전한 비밀번호의 생성·변경·이용·검증방법 등이 담겨있다.


특히, 개발자들이 참고할 수 있도록 사용자 비밀번호와 주민등록번호를 암호화하는 예시를 소스코드와 함께 제공하고 있으며, 암호기술 구현이 불가한 영세 업체들을 위해 예시에 사용된 암호 소스코드의 라이브러리도 함께 보급할 예정이라고 KISA는 밝혔다.


서종렬 KISA 원장은 “암호에 대한 관심은 높아졌지만, 여전히 일부 업체에서는 안전성을 담보할 수 없는 취약한 암호기술을 별 의심 없이 사용하거나, 잘못된 방법으로 암호기술을 구현하는 등 문제점이 많다”며 “이번 안내서 발간을 통해 안전한 암호기술 구현방법이 널리 공유돼 보다 안전하게 개인정보를 보호 할 수 있게 되기를 바란다”고 말했다.

 

 

『암호기술 구현 안내서』
  - 주요 내용 요약 - 

 

 

1. 배경 및 목적
최근 인터넷을 통한 개인정보 유출 사고가 빈번해지면서 개인정보 암호화 여부 뿐만 아니라, 개인정보 암호화에 이용된 암호기술의 안전성에 대한 논란이 일고 있다. 개인정보보호를 위해 자체적으로 암호기술을 도입·구현시, 안전하지 않은 암호기술을 도입하거나 구현을 잘못 한 경우에는 개인정보를 암호화했을 지라도, 여전히 개인정보 노출의 가능성이 있기 때문이다.

 

『암호기술 구현 안내서』는 이와 같은 개인정보 노출 가능성을 최소화하기 위한 안전한 암호기술들을 소개하고, 이러한 암호기술을 안전하게 구현하는 방법도 함께 제시하고 있다.

 

 

2. 대상
『암호기술 구현 안내서』는 정보통신망법, 개인정보보호법 등에서 개인정보 보호 의무를 가지는 기업 및 기관, 단체 등의 개발자들에게 암호기술을 구현하기 위한 방법을 제시하고 있다.

 


3. 주요 내용

3.1 암호화가 필요한 정보의 종류
암호화가 필요한 정보는 암호화된 정보를 다시 복원할 수 없어야 하는 정보와 암호화된 정보를 다시 복원할 수 있어야 하는 정보들로 분류한다.
⊙ 암호화된 정보를 다시 복호화할 수 없어야 하는 정보 ⇒ 비밀번호 등
 ※ 개인정보의 소유자를 제외하고는 개인정보 관리자를 포함한 그 누구도 암호화된 정보의 원래 정보가 무엇이었는지 알 수 없어야 하는 정보들
⊙ 암호화된 정보를 다시 복호화할 수 있어야 하는 정보 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등
 ※ 저장 시에는 암호화하나, 사용 시에는 복호화하여 원래 정보를 알 수 있어야 하는 정보들


 

 

관련 근거 법령


◇ 개인정보의 기술적·관리적 보호조치 기준
   제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. ② 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.


◇ 개인정보의 안전성 확보조치 기준
   제7조(개인정보의 암호화) ① 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다. ③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

 

 

3.2 암호화가 필요한 정보의 종류에 따른 암호기술
개인정보 암호화에 적용 가능한 암호기술은 개인정보의 저장 시 요구되는 기술과 개인정보 송·수신 시 요구되는 기술로 분류할 수 있다.

 

□ 개인정보 저장 시 요구되는 기술
  - 비밀번호 등 암호화된 정보를 다시 복원할 수 없어야 하는 정보는 일방향 해쉬함수를 이용
  - 주민등록번호 등 다시 복원할 수 있어야 하는 정보는 블록암호 알고리즘을 이용


⊙ 일방향 해쉬함수 ⇒ 비밀번호 등에 적용(다시 복호화할 수 없는 정보 저장 시)
   보안강도별 해쉬함수 분류

 

 

 

 

 

 

※ 권고 해쉬함수는 ’11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

※ 현재 많은 응용에서 사용되고 있는 SHA-1은 알고리즘 변경에 따른 비용, 구축 시간 등을 고려하여 2013년까지 112비트 이상의 보안 강도를 가지는 해쉬함수로 변경 권고


⊙ 블록암호 알고리즘 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등에 적용(다시 복호화할 수 있는 정보 저장 시)

 

보안강도별 블록암호 알고리즘의 사용 권고 기간

 

 

 

 

 

 

※ 권고 알고리즘은 ’11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

 

□ 개인정보 송·수신시 요구되는 기술
  - SSL 및 TLS와 같은 통신 암호기술 또는 응용프로그램에서 제공하는 암호화 방법을 사용
 ※ 웹서버에서 SSL/TLS 등의 보안 통신 기능을 적용하기 위한 보다 상세한 정보는 한국인터넷진흥원에서 발간한 「보안서버 구축 안내서」를 참조

 

 

3.3 암호기술 적용을 위한 시나리오

앞서 기술한 암호기술을 적용하기 위한 시나리오를 소개한다.
 
□ 해쉬함수 신규 적용 시나리오
비밀번호와 같이 일방향 해쉬함수가 필요한 정보에 대하여 신규로 해쉬함수를 적용하는 경우, 다음과 같이 처리할 수 있다.

 

 

 

 


비밀번호에 Salt라는 비밀값을 추가하여 해쉬함수에 적용하게 되는데, 이는 단순히 비밀번호만을 일방향 해쉬함수에 적용할 경우 비밀번호 사전공격에 취약할 수 있는 문제를 해결하기 위한 것이다. Salt를 추가하는 방법은 다양한 방식을 활용할 수 있으며, 선택한 방법은 외부에 노출되지 않도록 해야 한다.