개인정보 유출사고, 해킹·내부유출·위탁업체 관리소홀이 주 원인

[보안뉴스 김경애] 하루가 멀다하고 개인정보 유출사건이 터지고 있다. 더욱이 주민번호를 대신해 본인확인 수단으로 쓰였던 공공아이핀마저 부정발급된 사실이 밝혀지면서 국민들의 불안감이 커지자 행정자치부는 25일 종합대책을 마련해 발표했다.

개인정보침해신고센터에 따르면 개인정보 침해 민원신고 규모가 2005년 18,206건, 2006년 23,333건, 2007년 25,965건, 2008년 39811건, 2009년 35167건, 2010년 54,832건, 2011년 122,215건, 2012년 166,801건, 2013년 177,736건, 2014년 158,900건이다.

이는 국민들의 개인정보보호에 대한 의식과 요구는 높아지고 있는 반면, 기업이나 기관에서는 이를 제대로 반영하지 못하고 있다는 사실을 보여주는 지표다. 이에 본지는 개인정보보호 주요 위반 유형과 사고사례에 대해 살펴보고자 한다.

개인정보보호 주요 위반 유형

협회나 단체 등과 같이 비영리기관의 경우 개인정보보호 측면의 주요 위반 유형 및 사례로 개인정보 수집동의 및 위탁절차 등을 제대로 준수하지 못하고 있는 것이 가장 큰 문제가 지적됐다.  특히, 권한관리 및 암호화 조치 등과 같은 안전성 확보조치가 미흡하다는 것. 일부 기관의 경우는 여전히 개인정보를 동의 없이 수집하거나 제3자에게 제공하고 있는 것으로 드러났다.

증권사의 경우는 개인정보 수집시 필수 고지사항을 누락하거나, 안전성 확보 조치 사항이 미흡한 것으로 나타났으며, 고유식별정보 수집과 상품판매 권유에 대한 동의 획득시 구분 동의가 제대로 이루어지지 않은 것으로 분석됐다.

통신사 영업점, 온라인 쇼핑몰은 개인정보 보호조치 위반, 주민번호 이용 금지 위반, 목적 달성 후 개인정보 파기 미흡 등이 주요 위반유형으로 꼽혔다. 또한, 취급자 관리 감독 미흡, 홍보 판매 권유를 위한 개인정보 수집시 구분 동의를 위반한 경우가 많은 것으로 집계됐다.

대학, 병원의 경우는 개인정보 처리 위탁시 준수사항, 안전성 확보 조치 미흡 등이 주요 위반사항이었으며, 소규모 생활밀착형 업종의 경우 관련 법률에 대한 이해도가 낮아 현장 적용이 미흡하다는 게 전문가들의 공통된 의견이었다.

개인정보 유출사고 주요 발생 유형 

그렇다면 개인정보 유출사고의 경우 주요 유형은 어떻게 구분할 수 있을까. 행정자치부와 한국정보화진흥원 관계자는 “주요 사고사례를 살펴보면 해킹, 내부유출, 위탁업체 관리 소홀 등이 대부분이며, 유출정보는 대부분 주민번호를 포함하고 있다”며 “최근에는 피싱, 파밍 등으로 인해 신용정보 유출도 증가하고 있는 실정이다. 그러나 피해규모에 비해 아직까지 유출기업에 대한 제재조치 및 피해자 권리구제 등은 미흡하다”고 지적했다.

개인정보범죄 정부합동수사단에 따르면 주요 범죄유형은 첫 번째로 거래시 개인정보를 동의 없이 수집해 보관·이용하거나, 제3자 불법제공, 해킹 이후 판매된 것 등이라고 밝혔다.

두 번째로는 이미 유출된 개인정보를 유통시장을 통해 불법적으로 판매함으로써 수익을 얻거나, 영업·사기 등에 활용하는 유형이라고 지적했다.

세 번째로는 보안프로그램 해지·미설치 등 접근권한 제한조치를 위반하거나 암호화 미적용 등으로 개인정보가 유출된 유형을 꼽았다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>