기업의 고객정보보호를 위해 필요한 것은?

최근 빈번한 개인정보의 유출은 자신들만의 부정한 이득을 위해 고의적으로 타인의 개인정보를 악용하려고 하는 사람들에게 개인정보의 주인은 아무것도 모르면서 당하게 되는 사고가 발생할 수 있다. 이와 같이 법만으로는 개인정보 유출의 피해를 막을 수 없다. 근본적으로 개인정보를 소유하고 있는 곳에서 개인정보를 잘 관리해야만 한다.

개인정보 유출로 의심되는 스팸 문자를 지금도 받고 있는 피해사례를 정리해 보았다. 한 달에 2~4통 정도 “아가씨 대리운전~” 문자를 받고 있다. 필자 말고도 많은 사람들이 같은 상황일 것이라고 생각한다. 핸드폰 기능에 불법 스팸 신고 기능이 있어서 9차례 이상 신고를 했는데도 계속 위와 같은 문자를 받고 있다.

불법스팸대응센터(http://spam.kisa.or.kr/) 신고·상담 결과에서 “해당 행정관서에 신고했다. 이첩했다. 처리완료 했다”며 법 조항에 대해 알려준다. 처벌이 상당히 무거울 텐데 계속 보내는 것을 보면 법을 모르는 것인지 아니면 믿는 구석이 있는 것인지는 알 수가 없다.

예전에는 스팸 문자를 귀찮다 그냥 넘어가자 생각했지만 스팸 신고까지 했는데 계속 받게 되니 점점 통신회사와 신고센터, 자기 이득을 위해 배포하는 업자에게 직접 전화로 항의 및 신고해서 강력한 처벌을 받게 해달라고 하고 싶다는 생각이 굴뚝같다.

이러한 사례는 개인정보 유출로 악용되었거나 악의적인 툴을 통해 무작위로 발송하고 있을지도 모른다. 핸드폰 번호가 악덕 업자에게 넘어갔을 것이라고 유추해 본다. 또 한 통의 스팸 문자가 왔는데 문자 안에 있는 ‘1666-0000’번으로 전화를 해 봤다.

통화 내용처럼 전화를 받아 안내하는 여직원은 전화를 끊어 버렸다. 참 이상한 것은 발신자가 일반전화로 했는데 발신자의 핸드폰 번호를 어떻게 알고 빼준다는 것인지 웃음만 나올뿐이다. 이와 같이 요즘에는 개인정보 유출로 인해 스팸 문자를 받는 것은 다반사가 되었다. 정말로 중요한 것은 개인정보가 금전적으로 개인에게 피해를 줄 때는 더욱 심각해진다.

개인정보 유출, 보안 관리가 문제

사실 기사로만 개인정보 유출로 피해를 봤다는 사례를 접하게 되고 주변 사람들에게서 개인정보 유출로 피해를 입었다는 사례는 확인이 안된다.

하지만 빈번한 개인정보 유출은 자신들만의 부정한 이득을 위해 고의적으로 타인의 개인정보를 악용하려고 하는 사람들에게 개인정보의 주인인 당사자는 아무것도 모르고 당하게 되는 사고가 발생할 수 있다.

이와 같은 사실은 누구도 부인할 수 없는 사실이고 앞으로 그런 사고가 더 많이 발생할 것이라는 것 또한 부인할 수 없을 것이다. 이 같은 사례로 보았듯이 법만으로는 이런 피해를 막을 수 없다고 본다. 근본적으로 개인정보를 소유하고 있는 곳에서 개인정보를 잘 관리해야 한다는 결론에 도달하게 된다.

그렇다면 이러한 개인정보 유출은 왜 발생할까? 이 질문에 대한 대답으로 업체들의 영세성과 사안의 중대성에 대해 가볍게 여기기 때문이라고 한다. 기업의 영세성을 극복하기 위해서 당장은 어떻게 할 수 없지만 개인정보 유출에 대한 사안의 중대성에 대한 인식은 변화될 수 있다고 본다.

TV 9시 뉴스에 간간히 나오는 보안사고 사례만이라도 보고 우리 회사는 어떤지를 뒤돌아보면 회사의 개인정보보호는 한층 높아질 것이라고 확신한다. 또한 일회성 인식이 아닌 지속적으로 관심을 기울여야 할 것이다.

기업의 보안담당자는 한국정보보호진흥원 홈페이지에 접속하여 개인정보보호에 많은 도움(자가테스트, 개인정보영향평가, 웹 진단, 취약점 진단 등 지원)을 받을 수 있을 것이다. 또한 http://www.law.go.kr/(국가법령정보센터)에서 법규정보에 대해서 손쉽게 검색이 가능하므로 많이 이용하길 바란다.

개인정보 유출로 인해 기업의 경영자는 개인정보 관리 소홀 또는 유출로 인한 법적인 책임을 져야 되는 부분이 무엇인지를 명확히 인지하여야 한다고 본다. 그렇게 되면 무관심이 관심이 되고 좀 더 신경을 쓰게 되므로 개인정보보호 수준은 한층 더 높아질 것이 자명하기 때문이다.

개인정보를 보호하기 위해 기업의 경영진 및 정보보호 담당자가 분명히 알아두어야 할 내용에 대해서 간략히 정리해 보았다. 소프트웨어의 생명주기라는 말은 자주 들어보았을 것이다. 이와 같이 개인정보에도 개인정보 생명주기의 4가지 유형의 단계, 즉 수집이용 단계  -> 저장관리 단계  -> 제공위탁 단계 -> 파기 단계가 있다. 이는 일부 해석을 달리하는 전문가도 있을 것이다.

개인정보 생명주기의 4가지 유형 단계

1. 개인정보의 수집단계

“개인정보 수집ㆍ이용 시에는 동의 취득”<정보통신망법 제22조>

● 고지를 통한 동의 취득      

  1) 개인정보 수집, 이용 목적(본인확인, 물품배송 등)

  2) 수집하는 개인정보의 항목(이름, 주민등록번호, 전화번호 등)

  3) 개인정보 보유 및 이용기간(회원탈퇴 등 서비스 목적 달성 후 즉시 파기 등)        

● 예외 사항

  1) 계약 이행을 위해 필요한 경우(이용요금, 접속 로그, 결제 기록 등 불가피 생성)

  2) 서비스 제공에 따른 요금정산에 필요한 경우(요금정산이 완료될 때까지)

  3) 다른 법률에 특별한 규정이 있는 경우

※ 벌칙 : 위반 시 5년 이하 징역 또는 5천만원 이하의 벌금

“민감한 정보 수집제안”<정보통신망법 제23조 제1항>

● 수집 제한   

  권리ㆍ이익ㆍ사생활을 현저하게 침해할 우려가 있는 정보는 원칙적으로 수집금지

● 예외 사항

  1) 이용자의 명시적인 동의를 받은 경우(요금할인을 위해 및 국가보훈 대상여부 등의 정보수집)

  2) 다른 법률에 따라 특별히 수집대상 개인정보로 허용된 경우(요금연체 등의 이유로 신용정보를 수집하는 경우)

※ 벌칙: 위반 시 5년 이하 징역 또는 5천만원 이하의 벌금

“최소 개인정보 수집제한”<정보통신망법 제23조 제3항>

● 수집 제한   

  서비스 제공에 필요한 최소한의 개인정보를 수집

● 예외 사항

  1) 서비스 계약 체결 및 이행을 위해 반드시 필요한 정보(물품 등 배송시 주소, 결제시 신용카드 정도 등)

  2) 서비스 제공과 관련 국세징수 등의 이유로 다른 법률에서 요구하는 정보(거래사실 증빙에 필요한 개인정보)

※ 벌칙: 필요한 최소한의 정보 외의 개인정보를 제공하지 않는다는 이유로 서비스를 거부할 경우 3천만원 이하의 과태료가 부과됨

“아동 개인정보 수집시 법정대리인 동의취득”<정보통신망법 제31조>

● 동의취득

  1) 법정대리인의 전자서명된 전자우편 이용

  2) 우편 또는 홈페이지에서 제공하는 양식에 법정대리인이 직접 서명 후, 우편이나 팩스 등으로 전달

  3) 기타 법정대리인 동의하였을 확인할 수 있는 합리적인 방법(법정대리인의 본인 명의로 된 휴대전화 인증을 통한 본인 확인 및 동의)

※ 벌칙: 5년 이하의 징역 또는 5천만원 이하의 벌금

“이용자로부터 동의 받은 목적과 다른 목적으로 개인정보 이용 금지”<정보통신망법 제24조>

● 동의취득

  원래의 수집겴結?목적이 변경 또는 추가되는 경우, 변경 또는 추가 사항에 대해 별도의 동의 취득(상품배송 목적으로 수집한 개인정보를 자사 상품 통신판매 광고에 이용)

※ 벌칙: 5년 이하의 징역 또는 5천만원 이하의 벌금

2. 개인정보의 저장과 관리 단계

“이용자의 개인정보 보호 및 관련 고충을 처리하기 위한 개인정보관리 책임자 지정”<정보통신망법 24조>

● 자격요건

  1) 임원 예) 대표이사, 고객관련 부서의 임원

  2) 개인정보 관련 이용자의 고충처리를 담당하는 부서의 장

※ 상시 종업원 5명 미만 사업자는 별도로 관리책임자를 지정하지 않아도 되며, 대표자가 자동적으로 개인정보 관리책임자가 됨

※ 벌칙: 개인정보관리책임자 지정 하지 않을 경우 2천만원 이하의 과태료

“개인정보취급방침을 정하여 이용자가 언제든지 확인할 수 있도록 공개”<정부통신망법 제27조 2>

● 자격요건     

  1) 개인정보 수집ㆍ이용목적, 수집하는 개인정보 항목 및 수집방법

  2) 개인정보 제3자에게 제공 시, 제공받은 자의 성명, 이용 목적, 제공하는 개인정보 항목

  3) 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 방법

  4) 개인정보 취급위탁을 하는 업무의 내용 및 수탁자

  5) 이용자 및 법정대리인의 권리와 행사방법

  6) 인터넷 접속정보 등 개인정보를 자동 수집하는 장치 설치ㆍ운영 및 거부에 관한 사항

  7) 개인정보관리책임자 성명이나 개인정보보호 업무ㆍ고충사항 처리 부서명과 연락처     

● 공개방법

  1) 반드시 ‘개인정보취급방침’ 이라는 명칭으로 표시

  2) 글자 크기, 색상 등 활용하여 개인정보취급방침을 확인할 수 있게 표시

  3) 개인정보 수집 장소와 매체 고려하여 다음 중 하나 이상의 방법으로 공개

  - 인터넷 홈페이지의 첫 화면과의 연결화면

  - 점포사무소 안의 보기 쉬운 장소에 써 붙이거나 비치

  - 연 2회 이상 발행하여 고객에게 배포하는 간행물, 소식지, 홍보지, 청구서 등에 지속적으로 게재

  - 재화 또는 용역을 제공하기 위한 이용계약서에 게재

※ 이를 위반할 경우 2천만원 이하의 과태료

“개인정보가 분실ㆍ도난ㆍ누출ㆍ변도 또는 훼손되지 않도록 안전성 확보를 위한 관리적ㆍ기술적 보호조치 수행”<정부통신망법 제28조, 정보통신망법 시행규칙 제9조>

● 관리적 보호조치     

  1) 내부관리계획의 수립 및 시행

  2) 개인정보관리책임자 의무ㆍ책임 규정

  3) 잠금장치 등 물리적 접근방지 조치

  4) 정기적인 자체 감사실시

● 기술적 보호조치

  1) 접근권한 확인을 위한 식별 및 인증

  2) 접근차단 위한 암호화와 방화벽 설치

  3) 접근기록 위ㆍ변조 방지를 위한 조치

  4) 침해사고 방지를 위한 보안프로그램 설치ㆍ운영

※ 벌칙: 보호조치 미이행 시 3천만원 이하의 과태료

※ 벌칙: 보호조치 미이행으로 개인정보 누출시 2년 이하의 징역 또는 1천만원 이하의 벌금

3. 개인정보의 제공ㆍ위탁ㆍ양도 단계

“제3자 제공시 동의 취득”<정보통신망법 24조의 2>

● 고지사항     

  1) 개인정보를 제공받는자

  2) 제공받는 자의 이용목적

  3) 제공하는 개인정보 목록

  4) 제공받는 자의 보유 및 이용기간

     개인정보 관리책임자가 됨 

● 예외사항

  1) 요금정산을 위해 필요한 경우(미납된 이용요금 회수, 채권추심 등 신용정보기관에 제공)

  2) 다른 법률에 특별한 규정이 있는 경우(통신비밀보호법, 전기통신사업법 등에 의한 개인정보를 수사기관에 제공)

※ 벌칙: 5년 이하의 징역 또는 5천만원 이하의 벌금

“취급업무 위탁시 동의취득”<정보통신망법 25조의 제2항>

● 고지사항     

  1) 취급 위탁을 받는 자(위탁 받은 업체 명칭)

  2) 취급 위탁의 업무 내용(DM발송, 고객불만접수, 텔레마케팅 등)  

● 예외사항

  1) 서비스 제공 계약을 이행하기 위해 필요한 취급업무 위탁(고지사항 공개, 통지만으로 위탁허용)

  2) 고객이 알 수 있도록 개인정보취급방침에 공개, 전자우편ㆍ서면ㆍ전화 또는 이와 유사한 방법으로 통지 시 동의 취득으로 간주

※ 벌칙: 동의 없이 취급위탁 5년 이하의 징역 또는 5천만원 이하의 벌금

※ 벌칙: 취급위탁 미통지 2천만원 이하의 과태료

“취급업무 위탁시 수탁자에 대한 책임”

● 수탁자의 의무       

  1) 개인정보 취급업무 위탁을 받은 수탁자에게도 정보통신망법의 개인정보보호규정이 모두 적용

  2) 준용사업자는 수탁자가 법 규정을 위반하지 않도록 관리 감독할 책임    

● 준용사업자의 책임

  1) 수탁자의 규정 위반으로 이용자에게 손해 발생 시, 수탁자를 해당 사업자 소속 직원으로 봄(수탁자의 위반행위는 준용사업자 본사의 책임)

“영업을 양도, 합병으로 개인정보 이전하는 경우, 고지사항을 이용자에게 통지”<정보통신망법 제26조>

● 고지 사항   

  1) 개인정보를 이전하려는 사실

  2) 개인정보의 이전을 받는 자(영업 양수자)의 성명ㆍ주소ㆍ전화번호

  3) 이용자가 개인정보 이전을 원하지 않는 경우 동의철회 방법      

● 동의 철회 방법

  1) 통지주체: 원칙적으로 영업 양도자와 영업 양수자가 모두 이용자에게 통지 다만 양도자가 이미 통지한 경우에는 양수자의 통지의무 면제

  2) 통지 방법: 전자우편, 서면, FAX, 전화 등 기타 이와 유사한 방법

※ 벌칙: 2천만원 이하의 과태료

4. 개인정보 파기

“이용자 개인정보를 수집ㆍ제공받은 목적을 달성한 경우, 개인정보를 지체 없이 파기”<정보통신망법 29조>

● 파기 방법   

  1) 문서 - 분쇄 또는 소각

  2) 전자적 파일형태 - 재생할 수 없는 기술적 방법 사용하여 완전파괘      

● 예외 사항

  1) 다른 법률에 따라 개인정보를 보존하여야 하는 경우

  -상법, 전자상거래소비자보호법 등

  -개인정보를 일정기간 보관하도록 규정(약3~5년)

※ 벌칙: 3천 만원 이하의 과태료

“이용자는 자신의 개인정보에 대해 언제든지 동의 철회 및 열람ㆍ정정을 요구할 수 있음”<정보통신망법 제30조 제1, 2항>

● 이용자 권리

  1) 개인정보의 수집ㆍ이용ㆍ제공 등에 동의 철회 가능

  2) 자신의 개인정보 이용 및 제3자에게 제공된 내역의 열람 및 정정 요구 가능

법정대리인의 경우 아동에 대한 수집ㆍ이용ㆍ제공에 대한 동의 철회 및 정보열람, 정정 요구 권리

※ 벌칙: 3천만원 이하의 과태료

<글 : 조성춘 인젠시큐리티서비스 컨설팅사업본부 수석연구원(cho73@inzenss.com)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>