휴대전화번호 뒷자리도 개인정보?

코로나 팬데믹 초기에 식당, 백화점, 관공서등에 출입시 이 것을 기록하였는데이제는 안심콜, QR코드 인증등으로 주로 이 것을 활용하고 있습니다 이 것은 무엇일까요? 바로 방문 인증, 출입 기록입니다.

방문 인증은 역학조사를 위해 개인을 식별할 수 있는 정보를 기입하거나 인증받는 것을 말하는데 초기에는 휴대전화 번호를 명부에 기입하는 방식이었지만 수기 출입 명부에 기록된 휴대전화 번호로 인한 사생활에 침해가 발생하자 개인 안심번호라는 고유번호를 개인에게 발급하였고 현재는 QR코드 및 안심콜을 통한 인증 방법이 많이 사용되고 있습니다.

그렇다면 휴대전화 번호 전체가 아닌 뒷자리 4개는 개인정보일까요?정답은 “개인정보가 맞다”입니다.

 

개인정보보호법에서는 개인정보를 "살아 있는 개인에 관한 정보"와 해당 정보만으로 특정인을 알아볼 수 없지만 다른 정보와 쉽게 결합해 특정인을 알아볼 수 있는 정보를 개인정보라고 정의하고 있습니다. 

즉, 이름, 전화번호 뒷자리, 주소, 성별, 생년월일만 각각 알고 있다면 특정인을 알 수 없으나 정보를 결합(조합)하면 결국 단 한 명의 특정인을 알 수 있기 때문에 개인정보는 우리가 생각하는 전화번호, 주민등록번호, 운전면허번호뿐만 아니라 개인의 모든 정보가 개인정보에 속하게 됩니다.

 

개인정보분쟁조정위원회 홈페이지

전화번호 뒷자리 역시 이 것 하나만으로는 개인을 식별할 수 없지만, 다른 정보들을 결합하여 전화번호 사용자가 누군지 확인할 수 있기 때문에 2013년 대전지법 논산지원에서는 휴대전화 번호 뒷자리도 개인정보에 해당한다는 판결을 내렸습니다.

---

휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높으며, 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누군인지를 알아볼 수도 있다.(대전지법논산지원,2013고단17판결)

---

우리나라는 개인정보 보호법 제2조(정의) 1에 개인정보 정의에 대해 명확하게 명시하고 있으며, 제23조(민감정보 처리 제한)와 제24조(고유식별정보의 처리 제한), 개인정보보호법 시행령 제18조(민감정보의 범위), 제19조(고유식별정보의 범위) 등에서 사생활을 침해할 우려가 있는 개인정보와 개인을 고유하게 식별할 수 있는 정보에 대해서도 정의하고 있습니다.

 

---

개인정보보호법 제2조(정의) <개정 2014. 3. 24., 2020. 2. 4.>
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

---

개인정보보호법 제24조(고유식별정보의 처리 제한) 
① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
② 삭제  <2013. 8. 6.>
③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.  <개정 2015. 7. 24.>
④ 보호위원회는 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.  <신설 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>
⑤ 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.  <신설 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>

---

개인정보보호법 제23조(민감정보의 처리 제한) 

①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.  <개정 2016. 3. 29.>
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.  <신설 2016. 3. 29.>

---

개인정보보호법 시행령 제18조(민감정보의 범위) 

법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.  <개정 2016. 9. 29., 2020. 8. 4.>
1. 유전자검사 등의 결과로 얻어진 유전정보
2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
4. 인종이나 민족에 관한 정보

---

개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) 

① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

---

위와 같이 기업(개인정보처리자)은 민감정보, 고유식별정보 등의 개인정보들을 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 행정안전부에서 고시한 “개인정보의 안전성 확보조치 기준”을 기반으로 하여 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치를 해야 합니다.

따라서 암호화 필수 정보(고유식별정보, 바이오정보, 비밀번호)는 반드시 안전한 암호화 모듈로 암호화하여 저장하고 권한이 있는 인가자만 데이터에 접근할 수 있도록 해야 하며 직무 분리와 최고 권한의 원칙을 준수하고 개인의 신체, 신념, 사회적 지위, 신분 등의 민감정보는 데이터를 결합하더라도 특정인을 식별할 수 없도록 데이터 마스킹등의 기술적 조치를 하여야 합니다.

 

신시웨이의 데이터베이스 접근제어 설루션 Petra는 EAL2 등급 CC(공통평가기준, Common Criteria) 인증을 획득하였으며 암호화 솔루션 PetraCipher는 보호프로파일(PP, Protection Profile) 준수 등급의 국제 인증을 획득하여 제품의 우수성과 안정성을 인정받아 개인정보의 기술적, 관리적 조치를 가능하게 합니다.

---

출처 및 참고자료

• 개인정보분쟁조정위원회 https://www.kopico.go.kr

• 개인정보 보호 법령 및 지침∙고시 해설, 2016.12

• 개인정보보호법

• 개인정보보호법 시행령

• 개인정보의 안전성 확보 조치 기준