Home > 전체기사
[개인정보보호 연차보고서 톺아보기-8] 침해사고 예방 강화 및 정보주체 권리 보장
  |  입력 : 2020-09-20 23:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보 유·노출 예방·대응, 개인정보 영향평가제 운영, 개인정보파일 등록·관리 강화
개인정보침해신고센터 운영과 함께 다양한 정보주체 권리 보장 시책 추진


2020 개인정보보호 연차보고서에는 △개인정보 침해사고 예방 강화 △정보주체 권리 보장 △개인정보보호 실태 점검 및 개선 △개인정보 환경 개선과 기술 지원 △자율규제 촉진이라는 다섯 가지 측면에서 개인정보보호 기반 강화에 대한 내용이 소개돼 있다. 여기서는 개인정보 침해사고 예방 강화 및 정보주체 권리 보장 조치를 중심으로 살펴본다.

[이미지=utoimage]


△개인정보 침해사고 예방 강화
1. 개인정보 유·노출 예방 및 대응
행정안전부(이하 행안부)는 개인정보 유출로 인한 피해를 예방하기 위해 정부·공공기관 등에서 운영하는 홈페이지를 상시 모니터링해 개인정보가 탐지되면 해당 기관에 즉시 삭제·차단하도록 조치하고, 취약·영세 기관 등을 대상으로 노출 재발 방지를 위한 기술 지원을 실시하고 있다.

개인정보 노출 예방 및 재발 방지를 위해 서울·세종·강원·대구·대전·부산 등 전국적으로 홈페이지 개인정보 노출 예방 교육을 실시하는 한편, 2019년에는 교육 대상자의 역량 및 순회·전문교육 난이도 등을 고려해 사례 중심의 교육교재를 새로 개발했다.

행안부는 매년 정부·공공기관 웹사이트 운영 실태조사 등을 통해 노출 모니터링 대상 홈페이지를 현행화하고 있으며 유·노출 이력와 시기성(의료·복지, 취업철, 휴가철, 입시철) 등을 고려해 집중 탐지 홈페이지를 선정하고 이에 대한 관리를 강화하고 있다.

더불어 2019년에는 개인정보 탐지 유형을 고유식별정보 4종(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)에서 8종으로 확대(휴대전화 번호, 계좌번호, 신용카드번호, 건강보험번호 추가)하고 이미지 형태의 개인정보도 새로 탐지하기 시작했다. 이에 따라 875개 홈페이지에서 총 61만2,772건의 개인정보 노출을 탐지했으며 100% 삭제 완료했다.

방송통신위원회(이하 방통위)도 개인정보 노출·불법 유통 등 개인정보 침해사고의 지속적 발생으로 인한 우리 국민의 2차 피해 확산을 방지하기 위해 정보통신서비스 제공자에 대한 관련 법 보호 조치 여부를 모니터링해 사전에 개인정보 유출사고를 예방하고, 개인정보 노출 대응 시스템을 운영해 국내외 웹사이트에 노출된 주민등록번호·여권번호·운전면허번호·외국인등록번호·휴대전화 번호 등 주요 개인정보와 불법 유통 게시물을 탐지 및 삭제·차단하고 있다.

2019년부터 이미지 내 개인정보에 대한 탐지를 본격 실시해 기존에 탐지하기 어려웠던 이미지 형태로 노출된 개인정보 2,890건을 탐지해 2,749건을 삭제하는 등 개인정보 탐지 사각지대를 축소했으며, 한 해 동안 개인정보 노출 게시물 총 1만2,895건을 탐지해 연락 불가건 등을 제외한 1만2,615건을 삭제했다.

또한, 아이디 등 개인정보 판매·구매 목적의 개인정보 불법 유통 게시물을 12만1,714건을 탐지해 그중 11만1,298건을 삭제·차단했다. 특히, 인터넷상 아이디 불법 거래 집중단속을 실시해, 해당 기간 중 아이디 판매 게시물을 상습 게시한 4명에 대해 경찰 수사를 의뢰해 불법 거래자의 경각심을 제고했다.

아울러 방통위는 중국, 대만 등 중화권 국가에서 발생하는 우리 국민의 개인정보 침해에 적극적으로 대응하기 위해 한중인터넷협력센터를 운영해 중화권 웹사이트에 노출된 개인정보와 불법 유통 게시물 삭제를 강화했다. 한국인 개인정보 불법 거래로 지속적으로 이슈가 됐던 타오바오와 핫라인을 구축해 해당 서비스 내 한국인 개인정보 판매 게시물 전체를 삭제 조치했으며, 2013년부터 개인정보보호에 대해 협력하고 있는 중국인터넷협회와 업무협약(MOU)을 연장 체결하는 등 협력 관계를 공고히 했다.

이와 더불어 개인정보를 수집·이용하는 웹사이트, 스마트폰 앱 약 3만개를 대상으로 개인정보 보호 조치 모니터링 및 개선 안내를 실시해 개선이 필요한 웹·앱 1만6,744개 중 1만2,857개의 개선을 유도함으로써 사업자의 개인정보보호에 대한 인식을 제고하고 자발적인 참여를 독려했다.

2019년에 개선이 필요한 사업자를 대상으로 관련 교육 및 안내 가이드 배포·전화 상담 등을 지원하고, 국외 앱에 대해서는 모니터링 결과보고서 및 개선 가이드라인·국내 법령 해설서를 영문으로 지원했다. 또한, 웹호스팅 및 스마트폰 앱 마켓 사업자 등을 통해 관련 사업자들이 개선 조치할 수 있도록 협력을 강화했다.

더불어 웹사이트·스마트폰 앱 미개선 사업자 6,489개에 대해 행정지도를 시행했고, 지속적인 안내에도 불구하고 미준수 사항을 개선하지 않는 사업자를 대상으로 현장조사를 실시해 개인정보보호 규정 준수율을 제고했다.

2. 개인정보 영향평가제 운영
「개인정보 보호법」 제33조에 따라 일정 규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축·운영 또는 변경하려는 공공기관은 해당 개인정보파일의 운용으로 인해 정보주체의 개인정보 침해가 우려되는 경우 개인정보 영향평가를 통해 위험요인을 사전에 분석하고 개선함으로써 개인정보 침해사고를 사전에 예방하도록 하고 있다.

행안부는 이를 위해 2019년에는 개인정보 영향평가를 수행하는 신규 전문인력 양성을 위해 총 227명을 대상으로 전문교육을 시행했으며, 신규로 53명에게 영향평가 인증서를 교부함으로써 총 1,213명의 영향평가 전문인력을 확보했다.

또한, 개인정보 영향평가기관 중 유효기간 만료 예정인 영향평가기관의 영향평가 수행역량을 전반적으로 심사해 심사기준을 충족하는 6개 기관에 대한 영향평가기관 지정을 갱신했으며, 영향평가서의 침해요인 분석 내용과 개선 방안 내용의 적절성 등 품질 검토를 통해 개인정보 영향평가기관의 영향평가 수행품질을 관리했다.

3. 개인정보파일 등록 및 관리 강화
행정안전부는 「개인정보 보호법」 제32조에 따라 공공기관이 운용하는 개인정보파일의 등록 현황을 누구나 쉽게 열람할 수 있도록 개인정보보호 종합포털을 통해 공개하고 있다. 이는 정보주체인 국민이 자신의 개인정보의 열람, 정정·삭제 및 처리정지 등의 권리를 행사할 수 있도록 보장하기 위한 것이다.

△정보주체 권리 보장
1. 개인정보침해신고센터 운영
개인정보침해신고센터에 2019년 한 해 동안 접수된 신고·상담 건수는 총 15만9,255건이며, 이는 전년도 16만4,497건에 비해 3.2% 감소한 수치다. 2019년 개인정보침해 신고·상담 접수 유형 중 ‘주민등록번호 등 타인 정보의 훼손·침해·도용’은 전체의 약 84%인 13만4,000여건이 접수돼 2018년과 마찬가지로 가장 큰 비중을 차지했다.

2019년 개인정보침해 신고·상담에서 주목할 만한 점은 ①보이스 및 메신저 피싱 등 전자통신 금융사기 관련 상담의 폭증 ②개인정보 미파기 신고·상담 증가 ③CCTV 설치·운영 관련 신고·상담의 지속적 증가 ④적법하지 않은 주민등록번호 처리 관행이 지속되고 있다는 점 등이다.

첫 번째로 보이스 및 메신저 피싱 등 전자통신 금융사기 관련 상담이 약 11만건 접수됐다. 이는 2018년 대비 34% 증가한 수치로, 2019년 개인정보침해 신고·상담 전체 건수 중 약 69%를 차지했다. 대표적인 사례는 대출 사기 보이스피싱 및 허위 결제 문자 등 스미싱 문자를 이용한 보이스피싱, 지인 사칭 메신저 피싱 등이며, 침해 수법은 사칭 대상이나 사기 방법 등을 다양화하며 지속적으로 변화하고 있다.

방통위·과기정통부·금융위·경찰청 등 관련 정부기관이 보이스피싱 등 전자통신 금융사기 등의 침해 예방을 위해 제도적·기술적 조치를 마련하고 대국민 홍보를 적극적으로 실시하고 있으나, 범죄 수법이 날로 교묘하고 새로워지는 보이스피싱 등에 대해 국민들 스스로의 각별한 주의가 요구된다.

두 번째로 개인정보 미파기 신고·상담이 작년 대비 17%가 증가해 1,214건 접수됐다. 개인정보 미파기 신고·상담은 개인정보의 수집·이용·제공·보유 목적이 달성된 경우, 지체 없이 복구·재생할 수 없는 방법으로 파기해야 함에도 불구하고 사업자가 해당 개인정보를 파기하지 않고 보유하거나 파기해야 할 개인정보 서류를 무단 투기하는 경우에 발생한다. 대표적인 사례는 호텔 고객 개인정보 서류 무단 투기, 약국 환자 복약안내문 무단 투기, 폐업한 교육 사이트 개인정보 미파기, 통신사 대리점 이용자 개인정보 미파기 등이 있다.

국민들의 개인정보보호 인식과 관심이 높아지면서, 개인정보를 파기하지 않고 계속 보유하며 광고에 이용하거나 개인정보 서류를 무단 투기하는 사업자들의 관행에 대해 적극적으로 문제를 제기함에 따라 개인정보 미파기 관련 신고·상담이 증가하고 있는 것으로 파악된다.

세 번째로 CCTV 설치·운영 관련 개인정보침해 신고·상담은 작년 대비 10% 이상 증가한 약 4,800건이 접수됐다. CCTV는 원칙적으로 범죄의 예방 및 수사를 위해 필요한 경우 등 법령에서 규정하고 있는 경우를 제외하고는 설치·운영이 허용되지 않는다. 대표적인 침해 사례는 매장 홍보 영상정보 수집을 위한 CCTV 설치·운영, 도로변 로드숍 또는 음식점 등 가게 CCTV 설치·운영 시 안내판 미설치, 아파트 개인 현관 또는 주택에 CCTV 설치·운영으로 이웃 주민의 사생활을 침해하는 경우 등이다.

특히, 2019년에는 CCTV 안내판 미설치 관련 신고가 증가했다. 「개인정보 보호법」은 공개된 장소에 CCTV를 설치·운영하는 경우 설치 목적 및 장소, 촬영 범위 및 시간, 관리책임자 성명 및 연락처를 포함한 안내판을 정보주체가 쉽게 인식할 수 있도록 설치해야 한다고 규정하고 있으나 실제 CCTV 설치·운영 시 안내판을 설치하지 않는 사례가 빈번하게 발생함에 따라 신고가 증가한 것으로 파악된다.

네 번째로 적법하지 않은 주민등록번호 처리 및 관리와 관련한 신고·상담도 꾸준하게 접수되고 있다. 「개인정보 보호법」은 법률 또는 대통령령에서 구체적으로 근거를 명시한 경우에 주민등록번호를 처리할 수 있고, 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통해 안전하게 보관해야 한다고 규정하고 있다. 그러나 사업자 등 개인정보처리자가 주민등록번호를 법령 근거 없이 수집하거나 암호화 조치를 하지 않아 노출되는 사례가 꾸준하게 발생하고 있다. 대표적인 사례는 홈페이지 주민등록번호 노출, 신문사 홈페이지 정정 보도 청구 시 주민등록번호 수집 등이다.

향후 개인정보처리자가 주민등록번호 처리 시 근거 법령 마련 및 암호화 조치 중요성 등에 대한 인식을 제고할 수 있는 다양한 노력이 더욱 필요할 것으로 보인다.

2. 정보주체 권리 보장 시책 추진
가. 국내대리인 지정 및 개인정보 손해배상제도 지원
국내에 정보통신서비스를 제공하고 일정 기준을 충족하는 국외사업자에게 국내대리인 지정을 의무화하도록 정보통신망법이 개정됨에 따라 방통위는 법 시행일에 맞춰 국내대리인을 지정해야 하는 의무 대상 국외사업자의 세부기준을 정한 ‘국내대리인 지정제도 안내서’를 발간했다.

또한 정보통신서비스 제공자 등이 개인정보보호 법령 위반으로 이용자에게 손해를 입힌 경우 손해배상책임 이행을 위해 보험 또는 공제 가입, 준비금 적립 등의 조치를 하도록 정보통신망법이 개정됨에 따라 방통위는 개인정보보호 손해배상책임보험(공제) 등에 가입 또는 준비금을 적립해야 하는 정보통신서비스 제공자 등의 범위 및 기준 등을 정한 ‘개인정보 손해배상책임 보장제도 안내서’를 발간했다.

정보통신서비스 제공자 등이 스스로 정보통신망법 제32조의3에 따른 개인정보 손해배상책임 보장제도의 적용 대상에 해당하는지 여부를 쉽게 판단할 수 있도록 ‘개인정보 손해배상책임 보장제도 자가진단 안내’도 제공했다. 각 안내서는 KISA 온라인 개인정보보호 포털에서 열람이 가능하다.

나. 프로파일링 대응권 강화
최근 인공지능(AI)·사물인터넷(IoT)·빅데이터 등의 기술이 발전함에 따라 다양한 영역에서 개인정보의 수집·제공·이용 등이 일어나고 있으며, 이와 함께 개인의 성격·행태·취향 등을 분석·예측하는 ‘프로파일링’도 증가하고 있다. 금융 분야에서도 통계모형·알고리즘에 의한 개인신용평가 외에도 온라인 대출, 자동화된 보험료 산정 등에 개인정보 프로파일링이 확대되는 추세다.

그러나 맞춤형 상품 개발, 효율적 고객관리 등 산업적 측면에서는 프로파일링의 필요성이 있으나, 무분별하게 이뤄질 경우 정보주체의 권리가 침해될 소지가 상존하는 만큼 적절한 보완 장치를 마련할 필요가 있다.

EU GDPR은 프로파일링의 근거·기준 및 개인에게 미치게 될 영향도 등을 정보주체에게 알기 쉽게 전달하도록 하고, 프로파일링 근거·기준에 대한 정보주체의 의견표현, 이의제기권 보장과 맞춤형 마케팅 등에 대한 정보주체의 거부권 도입으로 프로파일링 과정·결과의 투명성을 제고하고 정보주체의 적극적인 대응권을 보장하도록 했다.

국내에서도 정보주체의 대응권을 보장하기 위해 개인신용평가와 관련해 일정한 경우 설명요구·의견표현·이의제기권 등의 제도를 일부 도입했고, 그 밖에도 금융회사 등의 정보 활용에 대해 처리 정지·정정 요구과 마케팅 거부권 등이 일반적으로 보장되고 있다.

개정된 신용정보법은 개인신용평가 관련 금융거래 거절 여부와 관계없이 신용등급·점수에 관한 설명요구·이의제기권을 폭넓게 인정하고 빅데이터 분석 등 자동화된 개인평가를 기초로 하는 금융거래에 대한 개인의 적극적 대응권을 도입했다.

다. 개인신용정보 전송요구권 도입
개인신용정보 전송요구권이란 정보주체가 본인의 개인신용정보를 보유한 기관으로 하여금 본인정보를 제3자에게 이동시키도록 할 수 있는 권리로, 본인의 긍정적 정보를 신용정보회사 및 금융회사에 전달해 개인신용평가 및 여신심사 등에 유리하게 활용할 수 있다.

현재도 본인의 긍정적 정보 제공 시 평가상 가점제도가 있지만, 개인이 직접 주기적으로 정보를 수집·제출해야 하는 등 절차가 번거로워 활용도가 낮은 실정이다. 하지만 향후에는 개인신용정보 전송요구권을 행사해 본인정보를 전자적으로 전송하게 함으로써 지속적인 가점 혜택을 받을 수 있다.

또한, 다양한 기관에 분산돼 있는 본인 신용정보를 본인정보관리업자에 제공해 손쉽게 정보관리서비스에 접근할 수 있다. 본인정보관리업자는 예금·대출·카드거래 등의 정보를 망라하는 본인 신용정보의 통합조회서비스를 제공하고, 이를 기초로 소비패턴·위험성향 등을 파악해 자산관리서비스를 제공하거나 맞춤형 금융상품을 추천하는 것으로 개정된 신용정보법은 본인신용정보관리업(MyData)을 도입했다.

라. 정보활용 동의서의 실질화·단순화
개정된 신용정보법은 개인정보의 수집·활용 전 과정에서 투명성을 높이고 정보주체를 보다 내실 있게 보호하기 위해 정보활용 동의제도의 개선(단순화·시각화), 정보활용 등급제 도입 등을 통해 금융소비자가 ‘알고 하는 동의’를 할 수 있도록 했다.

아울러 금융기관 등이 수집·이용·제공하는 정보의 내용에 대해 정보주체에게 요약 정보를 우선 제공하도록 하고, 고객이 요구할 경우 상세 정보도 함께 제공하도록 했다. 이에 따라 동의 과정에서 동의를 하는 정보주체의 확인 부담을 줄이고, 동의를 받아 정보를 활용하는 금융회사 등의 책임을 강화했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)