기업이 행해야 하는 개인정보 안전 조치 의무 위반 유형 중 개인정보 공개·유출 방지 조치 의무를 위반한 경우가 19%에 달하는 것으로 나타났다. 특히 개인정보 공개·유출 방지 조치에는 내부 부주의 단속뿐 아니라 해킹으로 인한 개인정보 유출도 방지할 수 있는 조치가 포함되기 때문에 기업들의 보다 철저한 보안 수준이 요구된다.
한국인터넷진흥원(KISA)에 따르면 개인정보 유출 위반 행위 유형 중 가장 많은 비중을 차지한 것은 안전조치(66%)인 것으로 나타났다. 해당 통계는 개인정보보호위원회에서 지난해 공개한 의결서 내용 중 발췌해 재조합한 결과다. 안전조치 다음으로는 유출통지(16%), 미파기(10%), 동의(9%) 등의 유형이 뒤를 이었다.
개인정보 유출은 개인정보에 대한 통제를 상실하거나 권한 없는 접근을 허용하는 경우를 말한다. 개인정보 유출을 알게 됐을 때 개인정보 항목, 시점, 대응조치, 담당 부서 등을 지체없이 정보 주체에게 통지해야 한다. 일정 규모 이상의 개인정보가 유출된 경우에는 지체없이 개인정보보호위원회 또는 KISA에 신고해야 한다.
안전조치 의무위반 유형으로는 ▲저장·전송 시 암호화가 25%로 가장 많았으며, 그다음으로는 ▲접속기록 보관·점검(22%) ▲공개·유출 방지 조치(19%) ▲접근권한 권리(15%) ▲안전한 접속·인증 수단(13%) ▲시스템 설치·운영(6%) 순이었다.
특히 최근 판례를 보면, 해킹 등 외부로부터의 불법적인 접근을 방지하기 위한 정보보안의 기술 수준을 갖추고 있었는지가 중요한 판단 기준이 됐다. 따라서 의무적으로 해야 하는 공개·유출 방지 조치에는 처리 중인 개인정보가 인터넷 홈페이지, P2P, 공유 설정 등을 통해 열람 권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 하는 조치 외에 해킹으로 인한 개인정보 유출 사고도 방지하기 위한 조치가 함께 시행돼야 한다.
또한 기업들은 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한해 인가받지 않은 접근을 제한하고, 개인정보처리시스템에 접속한 IP 주소 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하는 시스템을 설치·운영해야 한다. 차윤호 KISA 개인정보조사단장은 "침입차단·탐지 시스템은 방화벽 같은 특정 시스템만을 한정하진 않는다"며 "외부 공격에 합리적 기대 수준에서 대응이 가능하다면 꼭 유료이거나 보안 인증을 받은 제품일 필요는 없다"고 말했다.
개인정보 유출 사고와 관련한 자료 요구와 현장 확인 등은 개인정보보호위원회에서 직접 수행하고 있으며, KISA는 기술적 보호 조치를 수행한다.
관련기사
- 美 메트로폴리탄 오페라 고객 4만5천명 신용 카드 정보 유출2023.05.05
- 금융보안인증 악용해 국내 PC 해킹…北 '라자루스' 소행이었다2023.04.18
- 공공기관 11곳 개인정보 보호 수준 최하…"보호 인력·예산 확보 시급"2023.05.04
- "보안 불완전 '가상자산' 지갑, 유의점 상당"2023.04.18
차 단장은 "사업자의 개인정보 보호 조치 의무는 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 해야 하는 것"이라며 "합리적으로 기대 가능한 정도의 보호 조치라는 것이 판단이 어렵긴 하지만 법원은 이를 판단하며 판례를 쌓아가는 중"이라고 말했다. 이어 "최근에는 중소 영세 사업자에서도 접속 제한 등을 하지 않아 개인정보가 유출되는 경우가 있어 최소한의 보호 조치가 필요하다"고 덧붙였다.
또한 "현재 제3자는 개인정보 유출 신고 대상이나 침해 신고 대상은 아니며 공식적인 제보 창구가 없으나, 향후 해당 부분에 대해서는 개인정보위랑 고민해 보겠다"고 밝혔다.
