세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
가장 많이 적발되는 개인정보 안전성확보 조치 위반사례
  |  입력 : 2018-05-18 17:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안전성확보 미조치 사례는 내부 관리계획 미수립, 암호화 미적용 등 주로 적발

[보안뉴스 김경애 기자] 개인정보 유출사고가 발생한 기업들의 경우 안정성확보 조치가 미흡한 경우가 대부분이다. 내부 관리계획 미수립을 비롯해 비밀번호 작성 규칙 미흡, 비밀번호 관리 소홀, 암호화 미조치 등 다양한 위반사항들이 적발되곤 한다. 여기에서는 개인정보의 안전성 확보조치 위반사례를 살펴보고자 한다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


1. 내부 관리계획 미수립
A병원은 원활한 업무 처리를 위해 환자 개인정보 30만 건 이상 보관하고 있으며, 이를 관리하기 위해 개인정보처리 시스템을 도입 운용하고 있다. 의료정보와 의무 기록 등의 안전한 관리를 위해 ‘개인정보보호를 위한 내부 관리계획 및 관련 문서’를 작성해 관리하고 있다. 그러나 A병원의 내부 관리계획 세부항목을 보면 개인정보 보호책임자 지정 등 개인정보보호법에 따른 필수 항목을 반영하지 않은 것으로 드러났다.

내부 관리계획을 수립할 때는 ①개인정보 보호책임자의 지정에 관한 사항 ②개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 ③개인정보취급자에 대한 교육에 관한 사항 ④접근권한의 관리에 관한 사항 ⑤접근 통제에 관한 사항 ⑥개인정보의 암호화 조치에 관한 사항 ⑦접속기록 보관 및 점검에 관한 사항 ⑧악성 프로그램 등 방지에 관한 사항 ⑨물리적 안전 조치에 관한 사항 ⑩개인정보 보호 조직에 관한 구성 및 운영에 관한 사항 ⑪개인정보 유출사고 대응계획 수립·시행에 관한 사항 ⑫위험도 분석 및 대응 방안 마련에 관한 사항(‘유형 3’만 해당) ⑬재해 및 재난 대비 개인정보처리시스템의 물리적 안전 조치에 관한 사항(‘유형 3’만 해당) ⑭개인정보처리 업무를 위탁하는 경우, 수탁자에 대한 관리 및 감독에 관한 사항(‘유형3’만 해당) ⑮그 밖에 개인정보 보호를 위하여 필요한 사항 등 필수 사항을 모두 반영 및 수립했는지 확인해야 한다.

이에 따라 A병원은 개인정보 내부 관리계획 수립 및 이행에 대한 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

2. 비밀번호 작성 규칙 미수립
B업체는 호텔·콘도·스키장·골프장 등 종합 레저 사업을 하는 업체로, 대표 홈페이지를 통해 회원으로 가입한 고객들의 개인정보를 수집하고 있다. 개인정보처리 시스템을 도입해 개인정보를 저장·운용하고 있다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


그러나 B업체는 개인정보처리 시스템에 로그인할 때 비밀번호 작성 규칙 수립 및 적용이 되어 있지 않았다. 이는 제29조 위반에 해당된다. 해당 시스템에 개인정보취급자가 안전한 비밀번호를 설정해 이행할 수 있도록 개인정보처리자가 비밀번호 작성 규칙을 수립해 이를 시스템상에 안전하게 적용해야 하는데 그렇지 않았기 때문이다.

이에 따라 B업체는 비밀번호 작성 규칙 수립 및 이행 관련 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

3. 홈페이지 계정 비밀번호 전송 구간 암호화 미흡
학습지·학습 서적 출판업체인 A업체는 초등학생 저학년 학생들을 위한 교육 프로그램을 운영하고 있다. 회원 가입을 거쳐 로그인 후 교육 프로그램 참여가 가능하도록 설계돼 있다. 그러나 현장점검 결과, 메인 페이지와 교육 페이지 모두에서 회원 가입 및 로그인에 사용되는 비밀번호를 외부망으로 전송할 때 비밀번호가 암호화되지 않은 채 평문으로 전송되고 있는 것으로 나타났다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


이는 개인정보보호법 제29조 위반으로 안전성 확보조치 관련 시정조치와 3,000만 원 이하 과태료의 행정처분을 받았다.

4. 개인정보처리 시스템 비밀번호 전송 구간 암호화 미적용 ①
B학교는 사립대학교로, 소속 학생 외에도 비소속 학생과 일반인을 대상으로 교육 서비스를 제공하고 있다. 해당 교육 서비스 과정은 홈페이지를 통해서만 접수가 가능한데, 수강 종료 후 학위 및 자격증 확인을 위해 수강생의 개인정보를 준영구적으로 보관하고 있다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


현장점검 결과, B학교는 개인정보를 보관하고 있는 개인정보처리 시스템을 도입·운용하고 있다. 그러나 개인정보취급자는 홈페이지 시스템 로그인할 때 비밀번호를 암호화하고 있지 않았다. 이는 개인정보보호법 제29조 위반으로 B학교는 비밀번호 전송 구간 암호화 적용 관련 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

5. 개인정보처리시스템 접속기록 항목 누락
A기관은 주택 건설, 토지 개발, 임대 및 보상, 체육 시설, 장례 시설 등의 공공 업무를 수행하는 기관이다. 다양한 공공사업 분야를 포괄하고 있다 보니 분야별 사업 특성에 따라 수집·저장하는 개인정보도 달랐고, 그것을 보관・관리하는 개인정보처리시스템 또한 여러 개로 분리될 수밖에 없었다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


A기관은 총 5개의 개인정보처리 시스템을 운용하고 있었는데, 현장점검 결과, 이들 개인정보처리 시스템에 대한 접속기록이 제대로 이루어지지 않는 것으로 나타났다. 그 중 2개의 개인정보처리 시스템의 경우 접속 일시와 IP 주소를 포함한 개인정보취급자의 접속기록을 보유하고 있었지만, 접속기록 필수 항목(①계정(ID), ②접속 일시, ③접속자 정보(IP 주소), ④수행 업무) 중 개인정보취급자 ID 및 수행 업무에 대해서는 기록하고 있지 않았다.

개인정보처리 시스템의 접속기록은 불법적인 접근이나 행동을 확인할 수 있는 중요한 기록인 만큼 필수 항목들이 빠짐없이 기록·관리돼야 하고, 복수의 개인정보처리 시스템을 운용할 경우 이 모두에 적용되어야 한다.

이 사례에서 A기관은 개인정보처리 시스템에 대한 접속기록은 보유하고 있었지만 접속기록 중 필수 항목을 기록하고 있지 않아 개인정보보호법 제29조 위반에 해당한다. 이에 따라 A기관은 개인정보처리 시스템 접속기록 관리 관련 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

6. 세션 타임아웃 미적용
A병원은 고객들의 개인정보를 개인정보 수집 관련 동의서를 바탕으로 수집·저장하고 있다. 이러한 개인정보를 안전하게 보관하고 효율적으로 관리하기 위해 개인정보처리 시스템을 도입·운용하고 있다. 그러나 현장점검 결과, 개인정보처리자가 해당 개인정보처리 시스템에 대하여 세션 기간 제한을 수립하지 않은 것으로 드러났다.

▲개인정보 안전성 확보 조치 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


개인정보취급자가 일정 시간 이상 시스템에서 업무 처리를 하지 않을 경우 자동으로 접속 차단을 하지 않고 있었으므로 개인정보보호법 제29조 위반에 해당된다. 이에 따라 A병원은 개정정보처리시스템 세션 타임아웃 정책 적용 관련 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.

한편, 올해 하반기 개인정보보호 정책방향을 설명하고, 상반기 개인정보보호 실태점검 결과에 따른 기업의 대응방안을 제시하는 자리가 마련될 예정이라 주목된다. 오는 5월 31일부터 6월 1일까지 행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사인 PIS FAIR 2018이 코엑스 그랜드볼룸에서 열린다.

이번 PIS FAIR 2018에서는 시행이 얼마 남지 않은 유럽 개인정보보호법(GDPR) 세션과 함께 개인정보보호와 관련된 이슈와 신기술들이 이틀에 걸쳐 세부적으로 소개될 전망이다. PIS FAIR 2018은 홈페이지를 통해 사전등록하면 무료 참관이 가능하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)