개인정보 유출•노출 사고, 조치 사항 및 관련법 위반 행정처분 사례

■ 개인정보 ‘노출’

홈페이지 상 개인정보를 누구든지 알아볼 수 있어 개인정보 유출로 이어질 수 있는 상태로 아래와 같은 경우

• 개인정보가 포함된 게시물이 누구든지 알아볼 수 있는 상태로 등록된 경우

• 이용자 문의 댓글에 개인정보가 공개되어 노출이 된 경우

• 개인정보가 포함된 첨부파일을 홈페이지 상에 게시한 경우

 

■ 개인정보 ‘유출’

정보주체의 ‘개인정보’에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 경우로서 다음 어느 하나에 해당하는 경우

• 개인정보가 저장된 DB 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우

• 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일, 문서, 저장매체 등이 잘못 전달된 경우

• 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난을 당한 경우

구분	유출	노출
개념	통제를 상실하거나 권한이 없는 자의 접근을 허용	정보통신망 등을 이용하여 공중에 노출
관련 법령	개인정보보호법	법적 정의 없음
법적 책임	형사처벌대상(고의, 과실)	형사처벌대상 아님(부주의)
주  체	내부자, 외부자, 내부+외부자	내부자

※ 표준 개인정보 보호지침 제25조

 

「개인정보보호법 29조(안전조치의무)」 

개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

 

「개인정보보호법 제39조(손해배상책임) 」  

① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. 

④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.

 

유출은 개인정보보호법에 법적 책임에 대한 라고 명시 되어 있지만 노출은 해당 하지 않기 때문에 현재 까지 노출에 대한 법적 책임 근거는 존재 하지 않습니다.

 

 

개인정보 노출 사고 사례

관리자 부주의	이용자 부주의	설계 및 개발 오류
63.88%	28.97%	7.15%
• 개인정보 포함된 게시글 및 댓글 게시 • 개인정보가 포함된 첨부파일 게시	• 개인정보가 포함된 게시글 및 댓글 작성 • 개인정보가 포함된 첨부파일 게시	• 관리자페이지 접근제어 미흡 • 홈페이지 접속경로(URL) 관련 오류 • 홈페이지 소스코드 보안설정 미흡 • 디렉터리 리스팅 보안설정 미흡

※ 2019' 홈페이지 노출 원인 TOP3(출처 : 개인정보위원회, 2020 홈페잊 개인정보 유·노출 사고 사례)

/

 

2020 개인정보보호 연차보고서, 웹사이트 운영 실태조사(정부·공공기관)

 

행정안전부는 개인정보 유출로 인한 피해를 예방하기 위해 웹사이트 운영 실태조사(정부·공공기관)등을 상시 모니터링 하고 있으며, 개인정보가 탐지되면 해당 기관에 즉시 삭제, 차단하도록 조치 하고 있습니다.

2019년에는 개인정보 탐지 유형을 고유식별정보 4종(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)에서 8종으로 확대(휴대전화 번호, 계좌번호, 신용카드번호, 건강보험번호 추가)하고 이미지 형태의 개인정보도 새로 탐지하기 시작하였습니다.

 

■ 개인정보 노출 사고 사례1

게시글, 댓글 및 첨부파일로 인한 개인정보 노출(개인정보가 포함된 파일을 첨부하여 게시판에 게시)

 

§ 조치 방법

• 비공개 게시판으로 운영

• 최소한의 개인정보 기재 및 마스킹 처리

• 정기적인 노출 여부 확인 및 저장된 페이지 삭제

 

■ 개인정보 노출 사고 사례2

첨부된 이미지 파일(PDF, JPG 등)에 개인정보 포함(이미지 파일 첨부를 통한 개인정보 노출)

 

§ 조치 방법

• 이미지 편집 소프트웨어 등을 이용해 개인정보 마스킹 처리

 

★ 개인정보 노출 시 주요 조치사항

• 신속히 노출 페이지 삭제 또는 비공개 처리

• 검색엔진에 노출된 개인정보 삭제 요청

• 시스템의 계정, 로그 등을 점검 후 분석결과에 따른 접속 경로 차단(제3자 접근 여부 파악)

• 재발방지를 위해 서버,PC등정보처리시스템의 백신을 최신으로 업데이트 후 디렉토리 점검

 

개인정보 유출 사고 사례

해킹	업무과실	고의유출	불법매매
58%	32.7%	6%	3.3%
• 웹셸 업로드 • 파라미터 변조 • 지능형지속공격 • SQL인젝션 등 해킹공격	• 이메일 오발송 • 검색엔진 노출 • 접근통제 등보안조치 미흡	• 퇴사 시 USB로 다운로드 및 마케팅에 활용 • 지자체 공무원이 이장에게 무단 제공 등	• 다크웹 등을 통한 개인정보 매매

 

■ 개인정보 유출 사고 사례1

DB 관리자페이지 공격으로 인한 유출

OO업체는 오프라인 매장에서 멤버십 회원 정보를 수집하여 회원관리시스템에 등록 후 구매 금액에 따라 적립금과 쿠폰 등 혜택을 제공함

신규 회원 등록 중 시스템 장애가 발생하여 담당부서에 확인 요청 후 시스템 담당자가 확인해보니 DB내 모든 데이터가 삭제되어 있었음

내부조사결과 해커가 관리자페이지를 통해 개인정보를 유출한 후 원본 데이터를 삭제하고 개인정보를 대가로 비트코인을 요구하는 메시지를 남겼음

§ 조치 방법

• 접속권한을 IP주소, 포트, MAC주소 등으로 제한하여 인가받지 않은 접근을 제한

• 정보통신망을 통해외부에서 시스템에 접속 시 가상사설망(VPN) 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용

• 개인정보취급자의 계정 설정 시 안전한 비밀번호 사용 (영문,특수문자,숫자로 최소8자리 이상)

• 특히 DB에 접속하는 DB관리자의 비밀번호는 변경 주기를 짧게 하는 등 하고 강화된 안전조치를 적용

• ID:root, PW:root 와 같이 취약한 비밀번호는 사용하지 않음

 

■ 개인정보 유출 사고 사례2

업무 담당자가 지인의 부탁을 받고 고객정보 유출

OO호텔 업무 담당자 김모씨는 평소 알고 지내던 박모씨의 보험 영업 실적이 좋지 않자, 자신의 부하직원 윤모씨에게 지시하여 OO호텔 멤버십 회원의 개인정보(이름, 연락처) 2천 건을 엑셀파일로 다운로드 한 후 USB에 저장하여 박모씨에게 제공함

OO호텔의 개인정보 담당자는 매월 진행하는 접속기록 점검 중 특정일에 대량의 개인정보가 여러 차례 다운로드 된 것을 수상히 여겨 내부조사한 결과, 윤모씨가 상사인 김모씨의 지시를 받아 개인정보를 USB에 저장 후 제공한 사실을 알게됨

§ 조치 방법

• 개인정보취급자 교육을 통해 유출사고에 대한 인식 강화

• 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여

• 내부관리계획에 개인정보 다운로드 기준을 마련하고, 접속기록을 매월 점검하여 개인정보 다운로드 시 그 사유를 확인

• 보조저장매체의 반출입 통제를 위한 보안대책 마련하여 비인가된 사용 통제

 

■ 개인정보 유출 사고 사례3

퇴직한 직원이 개인정보처리시스템에서 개인정보 유출

OO업체는 개인정보처리시스템을 통해 방문한 고객의 개인정보를 처리하고 있으나, 직원들의 잦은 퇴직으로 업무 편의상 계정을 공용으로 사용하고 있음

OO업체에서 근무하였던 이모씨는 경쟁업체의 스카우트 제의를 받아 퇴사하였으나, 퇴사 이후에도 과거 사용하던 계정으로 시스템에 접근 가능한 것을 인지함

이모씨는 경쟁업체로 이직 후 OO업체의 시스템에 접속하여 고객의 개인정보 전체를 엑셀로 다운로드 받은 뒤 자신의 영업 실적을 위해 홍보문자 발송함

§ 조치 방법

• 개인정보취급자의 계정을 공유하여 사용하지 말고, 취급자 별로 계정을 부여

• 전보, 퇴직 등 인사이동이 발생하였을 경우 지체없이 시스템 접근권한을 변경·말소

• 퇴직 점검표에 사용자계정 말소 항목을 반영하여 계정 말소 여부에 대해 확인 절차 마련

• 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여

• 내부관리계획에 개인정보 다운로드 기준을 마련하고, 접속기록을 매월 점검하여 개인정보 다운로드 시 그 사유를 확인

 

★ 개인정보 유출 시 주요 조치사항

• 유출된 정보주체에게 지체 없이 통지(5일이내)
  ※ 정보통신서비스제공자등의 경우 ‘24시간 이내’
   * 필수 항목
    유출된 개인정보의항목, 유출된 시점과 그 경위, 피해 최소화를 위한 정보주체의 조치방법
    기관의 대응조치 및 피해구제 절차, 피해신고 접수 부서 및 연락처

• 피해 최소화를 위한 대책 마련 및 필요한 조치 실시

• 1천명 이상의 개인정보가 유출된 경우 국가(개인정보보호위원회 또는 한국인터넷진흥원)에 신고하고 개인정보 유출 사실을 홈페이지에 7일 이상 게재

※ 정보통신서비스제공자등의경우 ‘1건이상’
※ 유출신고: 개인정보보호포털(www.privacy.go.kr) 등

 

개인정보보호 관련법 위반 행정처분 사례

■ 고유식별정보 처리제한 등 관련법을 위반한 14개 교육기관에 개선권고 3건, 과태료 18건 9,900만 원 부과

행정안전부는 2018년 9월 대학, 학점인정기관, 학원 등 교육 분야 20개 기관을 대상으로 현장검사를 실시하고, 「개인정보 보호법」 제24조 고유식별정보의 처리 제한, 제29조 안전 조치의무 등을 위반한 14개 기관에 개선권고 3건과 과태료 18건 9,900만 원을 부과

 

■ 주민등록번호 처리제한 등 관련법을 위반한 11개 기관에 개선권고 4건, 과태료 15건 6,500만 원 부과

행정안전부는 2018년 12월 행정처분결과 이행 여부, 고유식별정보 조사 및 서면 점검 자 료 미제출 기관 등 12개 기관을 대상으로 현장검사를 실시하고, 「개인정보 보호법」 제24조 의2 주민등록번호 처리의 제한, 제29조 안전조치의무 등을 위반한 11개 기관에 개선권고 4건과 과태료 15건 6,500만 원을 부과

 

■ 안전조치의무 등 관련법을 위반한 5개 공공기관에 과태료 5건 3,300만 원 부과

행정안전부는 2019년 1월 공공 분야 7개 기관을 대상으로 현장검사를 실시하고, 「개인정 보 보호법」 제24조의2 주민등록번호 처리의 제한, 제29조 안전조치의무 등을 위반한 5개 기 관에 과태료 5건 3,300만 원을 부과

 

■ 개인정보보호 법규를 위반한 가상통화 취급업소 및 생활밀접형 O2O 사업자 10개사에 시정명령, 과태료 7,100만 원 부과

방송통신위원회는 해킹 등으로 인한 개인정보 침해가 우려되는 가상통화 취급업소 및 생 활밀접형 O2O(Online to Offline) 사업자에 대한 개인정보 취급·운영 실태점검을 실시하였 다. 조사 결과, 정보통신망법상 개인정보보호 관련 규정을 위반한 것으로 나타난 10개사에 대해 시정명령과 함께 과태료 총 7,100만 원을 부과

 

---

출처 및 참고 자료
개인정보보호위원회, 2020 개인정보보호 연차보고서
개인정보보호위원회, 2020 홈페이지 개인정보 유·노출 사고사례

---

기획. 프리세일즈·마케팅팀 | 박병민