[개인정보보호 이슈] 폼 빌더를 통해 수집한 개인정보 안전성 확보조치 기준은 지키고 계신가요?

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호 이슈] 폼 빌더를 통해 수집한 개인정보 안전성 확보조치 기준은 지키고 계신가요? 

개인정보보호법에는 '개인정보의 안전성 확보조치 기준'이라는 규정이 있습니다.

• 이 기준은 회사의 규모 등에 상관없이 개인정보를 처리한다면 어떤 기업이든 지켜야 하는 규정인데요.
• 개인정보 유출사고가 발생한 기업의 위반 내용을 보면 안전성 확보조치를 준수하지 못한 경우가 많습니다.
• 이는 중소기업 뿐만 아니라, 누구나 한번쯤 들어봤을 만한 기업도 있습니다.

---

안전성 확보조치 기준 위반 과태료 사례

1. 사적 및 잡지류 소매업

• 해당 기업은 이벤트를 진행하면서 구*폼을 통해 이용자들을 대상으로 개인정보를 수집했습니다.
• 개인정보가 수집되는 폼의 '결과 요약보기'의 설정을 '공개'로 설정하여 교보문고 담당자 외에도 개인정보를 확인할 수 있었습니다.
• 이벤트 참여자 96명과 설문 참여자 35명의 개인정보가 유출되었습니다.
• 개인정보보호위원회는 이벤트 관련 과태료 300만원과 설문조사 관련 과태료 300만원을 부과했습니다.

2. 제조·판매 중인 생활가전제품 온라인 홍보, 제품문의 관련 웹사이트 운영

• 해당 기업은 불법적인 접근을 방지하기 위한 침입·차단시스템의 운영이 부실하였습니다.
• 그 결과 해커에 의해 SQL 인젝션 공격을 받았고, 개인정보 관리자 계정이 탈취되었습니다.
• 아울러, 개인정보 수집 당시 명시한 보유·이용기간이 지난 개인정보를 파기하지 않았습니다.
• 개인정보보호위원회는 과징금 2억 2,400만원과 과태료 1,080만원을 부과했습니다.

3. 육류 도매업

• 해당 기업은 이용자들을 대상으로 이벤트를 진행했습니다.
• 이용자들의 개인정보를 수집하기 위해 네*버 폼을 이용했습니다.
• 수집된 개인정보의 '결과보기' 설정을 '공개'로 설정하여 참여자 67명의 개인정보가 유출되었습니다.
• 개인정보보호위원회는 과태료 300만원을 부과했습니다.

4. 건강기능식품 온라인 쇼핑몰

• 해당 기업은 개인정보처리시스템에 대한 접근권한을 제한하지 않고, 악성코드 파일이 실행되도록 하는 접근 통제를 소홀히 하였습니다.
• 그 결과, 이용자 75명의 신용카드 결제정보를 포함하여 119,756명의 개인정보가 유출되었습니다.
• 개인정보보호위원회는 과징금 4억 6,457만원과 과태료 720만원을 부과했습니다.

---

안전성 확보조치 기준

• 개인정보 유출사고가 발생했을 경우, 안전성 확보조치 기준을 잘 준수하고 있다는 것을 입증하면 처분이 감경되는 경우도 있습니다.
• 개인정보의 안전성 확보조치 기준은 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준입니다.

---

개인정보보호법에서 규정하고 있는 안전성 확보조치 기준은 다음과 같습니다.

1. 개인정보처리 시 내부 관리 계획 수립 · 시행

• 개인정보처리자는 개인정보를 안전하게 관리할 수 있도록 내부 의사결정을 통해 계획을 세우고 내부 임직원과 공유해야 합니다.

2. 개인정보 접근 권한 관리 및 접근 통제

• 회사의 임직원이라도 직급, 부서 등에 따라 업무 수행에 필요한 범위 내에서 개인정보 열람, 처리 등에 대한 권한이 세부적으로 설정되어야 합니다.

3. 개인정보 암호화 보관

• 수집한 개인정보 데이터를 보관할 때 유출이 되더라도 식별하기 어렵게 보관해야 하며, 그 이전에 개인정보가 포함된 파일에 암호를 통해 안전하게 보관해야 합니다.

4. 개인정보 열람 및 처리 접속 기록 보관 · 점검

• 누가 · 언제 · 어디서 접근했는지, 무엇을 했는지 알 수 있어야 합니다.
• 개인정보 유출 시 외부에서 공격을 받아 유출된 것인지, 내부에서 실수로 유출된 것인지 빠르게 파악할 수 있습니다.

5. 보안 프로그램 설치 · 업데이트

• 악성 프로그램 설치 방지 등을 위해 백신, 위험한 사이트 접근 통제 프로그램 등 최신 버전으로 관리하여야 합니다.

6. 물리적 안전조치

• 개인정보가 담긴 이동식저장매체 등은 안전한 장소에 보관되어야 하며, 잠금장치 등을 통해 아무나 출입이 불가능하도록 해야 합니다.

7. 개인정보 유출 사고 대응 계획 수립 · 시행

• 개인정보 유출 사고 발생 시 신고, 대응, 백업 등의 매뉴얼을 수립하여 빠른 조치를 취할 수 있도록 해야 합니다.

8. 개인정보 파기

• 개인정보 보유 · 이용기간 만료 시 복원이 불가능하도록 파기해야 합니다.

---

• 이 중에서 많은 기업들이 지키지 못하고 잇는 항목은 개인정보 접근 권한 관리 및 접근 통제, 개인정보 암호화 보관, 개인정보 열람 및 처리 접속 기록 보관 · 점검, 개인정보 파기 항목입니다.
• 실제로 개인정보 유출 사고로 과징금, 과태료를 처분 받는 기업들의 위반 항목 중 다수가 위의 4개 항목입니다.