![](https://www.lgcns.com/wp-content/uploads/2021/12/1-21.png)
개인정보보호법은 2011년 3월에 시행된 이후, 대규모의 개인정보 유출과 인공지능(AI) 등 신기술의 발전에 대응해 정보 주체의 권리를 보다 적극적으로 보장하도록 개인정보 자기결정권*을 강화하고 있습니다. 또한, 개인정보를 처리하는 기업에 대한 책임을 강화해 형벌 중심에서 경제 중심 제재로 전환 및 강화되고 있습니다.
- 개인정보 자기결정권: 개인정보의 경제적·사회적 가치가 증가함에 따라 개인이 자신에 관한 정보를 적극적으로 관리· 통제할 수 있는 권리
![](https://www.lgcns.com/wp-content/uploads/2021/12/5-15.png)
이렇듯 기업의 입장에서 개인정보 보호를 위한 개인정보보호법 준수는 날로 중요해지고 있는데요. 크고 작은 개인정보 노출 또는 유출 사고는 매년 꾸준히 발생하고 있습니다. 개인정보 유출 사고로 인해 개인은 명의도용, 보이스피싱 등 범죄에 노출되거나 스팸 수신 등의 피해를 겪게 되죠. 한편, 개인정보가 유출된 기업은 법적 책임을 져야 하거나, 기업 이미지 실추와 같은 피해를 겪게 됩니다.
개인정보 유출의 정의 (표준 개인정보보호지침 제 25조)
표준 개인정보보호지침 제25조는 ‘개인정보 유출’에 대해 정의하고 있습니다.
![](https://www.lgcns.com/wp-content/uploads/2021/12/3-25.png)
표준 개인정보보호지침 제25조 개인정보 유출 정의를 통해 알 수 있듯, 개인정보 유출은 내부 또는 외부의 권한이 없는 자가 고의로 접근한 경우뿐만 아니라 업무 과실로 인한 경우도 해당함을 알 수 있습니다.
2011년 3월 개인정보보호법 시행 이후 국가 기관에 신고된 개인정보 유출 사고를 분석한 통계 자료에 의하면, 개인정보 유출 사고 원인은 해킹으로 인해 개인정보가 유출된 경우가 58%로 가장 많았는데요. 내부 관리자(개인정보취급자)의 업무 과실 및 보안 관리 소홀로 개인정보가 유출된 경우가 32.7%로 그 뒤를 이었습니다. 내부자의 고의유출에 의해 개인정보가 유출된 경우는 6%로 나타났죠. 정리하자면 해킹은 개인정보 유출 요인 중 하나지만, 개인정보를 처리하는 개인정보취급자의 업무 과실에 의한 개인정보 유출 역시 유출 사고의 주요 원인이었다는 것입니다.
![](https://www.lgcns.com/wp-content/uploads/2021/12/4-4.png)
개인정보취급자의 업무 과실에 따른 개인정보 유출에는 다양한 사례가 있습니다. 하지만, 담당자의 이메일 오발송과 홈페이지 게시판을 통한 개인정보 노출이 개인정보취급자의 부주의로 인한 개인정보 유출 사고의 대표적인 사례일 것입니다.
![](https://www.lgcns.com/wp-content/uploads/2021/12/9-8.png)
그럼, 개인정보취급자의 업무 과실로 인한 대표적인 개인정보 유출 사례를 통해, 개인정보취급자의 업무 과실을 예방할 수 있는 방법이 무엇인지 살펴보겠습니다.
개인정보취급자의 업무 과실에 따른 개인정보 유출 사례와 예방 방법
[사례1] 이메일 오발송을 통한 개인정보 유출 사례
- 상황 1 : 홍보담당자는 ○○행사 참여자 정보(이름, 핸드폰 번호, 이메일 등)를 행사 진행을 담당하고 있는 직원인 A에게 이메일 발송을 하려다가, 수신자를 잘못 설정해 행사 진행 업무와 관련이 없는 부서의 직원 B에게 발송
- 상황 2 : 홍보담당자가 ○○행사 참여 안내 및 신청서 양식을 홈페이지 회원에게 이메일 발송하는 과정에서 전년도 행사 신청자 명단(이름, 핸드폰 번호, 이메일 등)이 포함된 신청서 양식을 첨부해 홈페이지 회원에게 발송
- 상황 3 : 홍보담당자는 ○○행사 이벤트 당첨자에게 경품 수령 안내 이메일을 발송하는 과정에서 당첨자들에게 단체 이메일 발송 시, ‘숨은 참조’기능을 적용하지 않고 전체 수신자로 이메일을 발송
![](https://www.lgcns.com/wp-content/uploads/2021/12/11-3.png)
[사례2] 개인정보 파일(엑셀)를 통한 개인정보 유출 사례
- 상황 1 : 인사 담당자는 신입사원 채용을 진행하기 위해, ‘채용 계획서 파일(엑셀 파일)’을 채용 업무 수탁사에 제공했으나, 채용 계획서 파일의 엑셀 숨김 시트에 전년도 입사 지원자 개인정보(이름, 핸드폰 번호 등)가 포함돼 제공
- 상황 2 : 교육 담당자가 ○○교육 참가자에게 교육 장소 배정 사항을 공지 한 ‘○○교육 교육장 배정 공지 파일(엑셀 파일)’의 엑셀 숨김 열에 개인정보(핸드폰 번호, 이메일 등)를 포함해 게시
- 상황 3 : 교육 담당자는 ○○교육 참가자에게 출석률 통계 정보(그래프) 사항을 공지한 ‘○○교육 출석률 통계 그래프(엑셀 파일)’의 엑셀 외부 참조(외부 연결 값 저장)에 개인정보(이름, 핸드폰 번호, 이메일 등)가 활성화되어 게시
![](https://www.lgcns.com/wp-content/uploads/2021/11/14.png)
[사례3] 홈페이지 게시물을 통한 개인정보 유출 사례
- 상황 1 : 홍보담당자가 이벤트 당첨자 정보를 홈페이지에 공개 시, 당첨자의 이름, 휴대폰번호 등 당첨자의 개인정보를 모두 포함해 게시
- 상황 2 : 고객상담 당당자가 홈페이지에 고객 문의사항에 대한 답변을 게시하는 과정에서 개인정보가 포함된 댓글을 공개로 게시
- 상황 3 : 홍보담당자가 홈페이지 게시판에 행사 일정표(파일)를 등록/게시하는 과정에서 전년도 행사 참여자 명단(이름 핸드폰 번호, 이메일 등)이 포함된 일정표 파일을 첨부해 게시
![](https://www.lgcns.com/wp-content/uploads/2021/12/13-7.png)
기업의 임직원은 업무 처리 과정에서 언제든지 실수를 할 수 있습니다. 하지만, 이러한 업무 과실로 인해 개인정보 유출 사고가 발생하지 않도록 주의해야 합니다. 이를 위해서는 업무 과실을 예방할 수 있는 기술적 방법이 필요한데요. 업무 프로세스에 사전적 예방조치를 고려한 ‘Privacy by Design’을 적용하고, 사고 대응적 관점이 아닌 사고 예방적 관점에서 개인정보를 처리해야 합니다. 이와 더불어, 개인정보취급자에 대한 계획적이고 지속적인 보안교육 및 홍보활동 등을 통해 보안 인식을 제고한다면, 개인정보 유출 사고를 효과적으로 예방할 수 있을 것입니다.
[참고]
1) 개인정보보호 포털(https://privacy.go.kr/edu/ttb/selectBoardArticle.do), 개인정보보호의 의미와 법주요 개정사항
2) 개인정보보호 포털(https://privacy.go.kr/edu/ttb/selectBoardArticle.do), 2021년 홈페이지 개인정보 유·노출 사고사례 및 침해사고 대응
3) 개인정보보호 포털(https://privacy.go.kr/inf/gdl/selectBoardArticle.do), 홈페이지 개인정보 노출방지 안내서
4) 네이버 개인정보보호 (https://blog.naver.com/n_privacy/222370264643)
글 ㅣ LG CNS 사이버시큐리티팀 안상운 책임/총괄