[개인정보보호위원회] 홈페이지 개인정보 노출 방지 안내서 (2024.04 일부개정)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 홈페이지 개인정보 노출 방지 안내서 (2024.04 일부개정) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 홈페이지 개인정보 노출 방지 안내서

○ 발행일 : 2024년 04월

○ 주관부처 : 개인정보보호위원회, 한국인터넷진흥원

---

[개요]

□ 개인정보란?

• 개인정보란 살아있는 개인정보에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보를 말합니다. 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보가 포함됩니다.
• 이 경우에는 쉽게 결합할 수 있는지에 대한 여부는 다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간과 비용, 기술 등을 합리적으로 고려해야 합니다. 또한, 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 가공하여 추가 정보 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보 즉, 가명정보도 개인정보에 포함됩니다.

개인정보 종류

---

2024 홈페이지 개인정보 노출방지 안내서(2024.4 일부개정).pdf

17.45MB

홈페이지 개인정보 노출방지 안내서(2024.04) : 개인정보보호위원회, 한국인터넷진흥원

---

□ 개인정보 노출의 이해

개인정보 노출의 개념 및 위험성

• 개인정보 노출이란 홈페이지상에서 개인정보를 누구든지 알아볼 수 있어 언제든지 유출로 이어질 수 있는 상태를 말합니다. 개인정보가 포함된 게시물이 누구든지 알아볼 수 있는 상태로 등록된 경우, 이용자 문의 댓글에 개인정보가 공개된 경우, 개인정보가 포함된 첨부파일을 홈페이지상에 게시한 경우 등을 예로 들 수 있습니다.
• 한편, 개인정보 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대해 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로 표준 개인정보 보호지침 제25조에 해당하는 경우를 말합니다.
• 개인정보의 노출과 유출의 가장 큰 차이점은 권한 없는 자의 접근이 이루어졌는지에 대한 여부입니다. 단순히 게시판에 개인정보가 게시되어 있다면 노출에 해당하지만, 권한 없는 자의 접근이 이루어지거나 개인정보를 다운로드 했다면 이는 유출에 해당합니다.
• 개인정보가 노출되었다면 이를 신속하게 삭제 또는 비공개 처리해야 하며, 권한 없는 제3자가 개인정보에 접근하여 유출로 판단되면 정보주체에게 유출 통지하고 관계기관에 보고하는 등 개인정보보호법 제34조에 따른 조치를 취해야 합니다.

---

□ 숫자로 보는 개인정보 노출

• 공공부문에서의 개인정보 노출 탐지 추이를 살펴보면, 개인정보보호법상 주민등록번호 등 주요 개인정보 처리에 대한 규제가 강화되고 있는 추세입니다. 또한, 교육 등을 통해 개인정보처리자의 인식이 제고됨에 따라 2018년까지 개인정보 노출 페이지 수는 지속적인 감소세를 보이고 있습니다.
• 다만, 2019년부터 개인정보 탐지 유형을 고유식별정보 4종(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)에서 8종으로 확대(휴대전화번호, 계좌번호, 신용카드번호, 건강보험번호 추가)하고 이미지 파일 형태의 개인정보를 신규로 탐지 페이지 수가 1,581개로 증가했습니다. 
• 2023년에는 1,420건으로 개인정보 노출 페이지를 탐지했습니다.

---

[목차]

Ⅰ. 개요

1. 개인정보란 ?

• 일상생활에서 다양하게 활용되는 개인정보

2. 개인정보 노출의 이해

• 가. 개인정보 노출의 개념 및 위험성
• 나. 언론보도로 보는 개인정보 유·노출
• 다. 숫자로 보는 개인정보 노출

Ⅱ. 개인정보 노출 원인 및 조치방안

1. 홈페이지 운영·관리자 부주의에 의한 노출

• 가. 개인정보가 포함된 게시글 및 댓글 게시
• 나. 개인정보가 포함된 첨부파일 게시

2. 이용자 부주의에 의한 개인정보 노출

• 가. 개인정보가 포함된 게시글 및 댓글 작성
• 나. 개인정보가 포함된 첨부파일 게시
•       첨부파일 종류별 개인정보 노출원인 알아두기
• 1) 개인정보 노출의 원인이 되는 엑셀 기능 알아두기
• 2) 개인정보 노출방지를 위한 문서 마스킹 처리 기능 알아두기
• 3) 개인정보 노출방지를 위한 이미지 마스킹 처리 기능 알아두기

3. 홈페이지 설계 및 개발 오류에 의한 노출

• 가. 관리자페이지 접근제어 미흡
•       관리자페이지 안전하게 보호하기
• 나. 홈페이지 접속경고(URL) 관련 오류
•       GET 방식과 POST 방식 알아보기
• 다. 홈페이지 소스코드 보안설정 미흡
• 라. 임시저장 페이지 미삭제
• 마. 디렉터리 리스팅 보안설정 미흡

4. 검색엔진을 통한 개인정보 2차 노출

• 가. 검색엔진의 이해
• 나. 검색엔진을 통한 2차 노출방지 조치 방안

Ⅲ. 개인정보 노출, 예방할 수 있습니다.

• 1. 홈페이지 운영·관리자 개인정보 노출 예방수칙
• 2. 홈페이지 개발자 개인정보 노출 예방수칙
• FAQ 무엇이든지 물어보세요.

부록

• 1. 주요 용어 이해하기
• 2. 개인정보 노출 점검, 스스로 해보기
• 3. 개인정보 유출 시 필수 조치사항
• 4. 주요 개인정보 8종 정규표현식
• 5. 자가진단 체크리스트
• 6. 참고자료