본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

[보안동향] 잡았다, 요놈! 업무 중 개인정보 유출, 막으려면?

2021.11.26

개인정보보호법은 2011년 3월에 시행된 이후, 대규모의 개인정보 유출과 인공지능(AI) 등 신기술의 발전에 대응해 정보 주체의 권리를 보다 적극적으로 보장하도록 개인정보 자기결정권*을 강화하고 있습니다. 또한, 개인정보를 처리하는 기업에 대한 책임을 강화해 형벌 중심에서 경제 중심 제재로 전환 및 강화되고 있습니다.

  • 개인정보 자기결정권: 개인정보의 경제적·사회적 가치가 증가함에 따라 개인이 자신에 관한 정보를 적극적으로 관리· 통제할 수 있는 권리

이렇듯 기업의 입장에서 개인정보 보호를 위한 개인정보보호법 준수는 날로 중요해지고 있는데요. 크고 작은 개인정보 노출 또는 유출 사고는 매년 꾸준히 발생하고 있습니다. 개인정보 유출 사고로 인해 개인은 명의도용, 보이스피싱 등 범죄에 노출되거나 스팸 수신 등의 피해를 겪게 되죠. 한편, 개인정보가 유출된 기업은 법적 책임을 져야 하거나, 기업 이미지 실추와 같은 피해를 겪게 됩니다.

개인정보 유출의 정의 (표준 개인정보보호지침 제 25조)

표준 개인정보보호지침 제25조는 ‘개인정보 유출’에 대해 정의하고 있습니다.

표준 개인정보보호지침 제25조 개인정보 유출 정의를 통해 알 수 있듯, 개인정보 유출은 내부 또는 외부의 권한이 없는 자가 고의로 접근한 경우뿐만 아니라 업무 과실로 인한 경우도 해당함을 알 수 있습니다.

2011년 3월 개인정보보호법 시행 이후 국가 기관에 신고된 개인정보 유출 사고를 분석한 통계 자료에 의하면, 개인정보 유출 사고 원인은 해킹으로 인해 개인정보가 유출된 경우가 58%로 가장 많았는데요. 내부 관리자(개인정보취급자)의 업무 과실 및 보안 관리 소홀로 개인정보가 유출된 경우가 32.7%로 그 뒤를 이었습니다. 내부자의 고의유출에 의해 개인정보가 유출된 경우는 6%로 나타났죠. 정리하자면 해킹은 개인정보 유출 요인 중 하나지만, 개인정보를 처리하는 개인정보취급자의 업무 과실에 의한 개인정보 유출 역시 유출 사고의 주요 원인이었다는 것입니다.

개인정보취급자의 업무 과실에 따른 개인정보 유출에는 다양한 사례가 있습니다. 하지만, 담당자의 이메일 오발송과 홈페이지 게시판을 통한 개인정보 노출이 개인정보취급자의 부주의로 인한 개인정보 유출 사고의 대표적인 사례일 것입니다.

[표1] 업무과실(실수)에 의한 개인정보 노출•유출 사례 (출처 : 개인정보보호 포털)

그럼, 개인정보취급자의 업무 과실로 인한 대표적인 개인정보 유출 사례를 통해, 개인정보취급자의 업무 과실을 예방할 수 있는 방법이 무엇인지 살펴보겠습니다.

개인정보취급자의 업무 과실에 따른 개인정보 유출 사례와 예방 방법

[사례1] 이메일 오발송을 통한 개인정보 유출 사례

  • 상황 1 : 홍보담당자는 ○○행사 참여자 정보(이름, 핸드폰 번호, 이메일 등)를 행사 진행을 담당하고 있는 직원인 A에게 이메일 발송을 하려다가, 수신자를 잘못 설정해 행사 진행 업무와 관련이 없는 부서의 직원 B에게 발송
  • 상황 2 : 홍보담당자가 ○○행사 참여 안내 및 신청서 양식을 홈페이지 회원에게 이메일 발송하는 과정에서 전년도 행사 신청자 명단(이름, 핸드폰 번호, 이메일 등)이 포함된 신청서 양식을 첨부해 홈페이지 회원에게 발송
  • 상황 3 : 홍보담당자는 ○○행사 이벤트 당첨자에게 경품 수령 안내 이메일을 발송하는 과정에서 당첨자들에게 단체 이메일 발송 시, ‘숨은 참조’기능을 적용하지 않고 전체 수신자로 이메일을 발송

[사례2] 개인정보 파일(엑셀)를 통한 개인정보 유출 사례

  • 상황 1 : 인사 담당자는 신입사원 채용을 진행하기 위해, ‘채용 계획서 파일(엑셀 파일)’을 채용 업무 수탁사에 제공했으나, 채용 계획서 파일의 엑셀 숨김 시트에 전년도 입사 지원자 개인정보(이름, 핸드폰 번호 등)가 포함돼 제공
  • 상황 2 : 교육 담당자가 ○○교육 참가자에게 교육 장소 배정 사항을 공지 한 ‘○○교육 교육장 배정 공지 파일(엑셀 파일)’의 엑셀 숨김 열에 개인정보(핸드폰 번호, 이메일 등)를 포함해 게시
  • 상황 3 : 교육 담당자는 ○○교육 참가자에게 출석률 통계 정보(그래프) 사항을 공지한 ‘○○교육 출석률 통계 그래프(엑셀 파일)’의 엑셀 외부 참조(외부 연결 값 저장)에 개인정보(이름, 핸드폰 번호, 이메일 등)가 활성화되어 게시

[사례3] 홈페이지 게시물을 통한 개인정보 유출 사례

  • 상황 1 : 홍보담당자가 이벤트 당첨자 정보를 홈페이지에 공개 시, 당첨자의 이름, 휴대폰번호 등 당첨자의 개인정보를 모두 포함해 게시
  • 상황 2 : 고객상담 당당자가 홈페이지에 고객 문의사항에 대한 답변을 게시하는 과정에서 개인정보가 포함된 댓글을 공개로 게시
  • 상황 3 : 홍보담당자가 홈페이지 게시판에 행사 일정표(파일)를 등록/게시하는 과정에서 전년도 행사 참여자 명단(이름 핸드폰 번호, 이메일 등)이 포함된 일정표 파일을 첨부해 게시

기업의 임직원은 업무 처리 과정에서 언제든지 실수를 할 수 있습니다. 하지만, 이러한 업무 과실로 인해 개인정보 유출 사고가 발생하지 않도록 주의해야 합니다. 이를 위해서는 업무 과실을 예방할 수 있는 기술적 방법이 필요한데요. 업무 프로세스에 사전적 예방조치를 고려한 ‘Privacy by Design’을 적용하고, 사고 대응적 관점이 아닌 사고 예방적 관점에서 개인정보를 처리해야 합니다. 이와 더불어, 개인정보취급자에 대한 계획적이고 지속적인 보안교육 및 홍보활동 등을 통해 보안 인식을 제고한다면, 개인정보 유출 사고를 효과적으로 예방할 수 있을 것입니다.

[참고]

1) 개인정보보호 포털(https://privacy.go.kr/edu/ttb/selectBoardArticle.do), 개인정보보호의 의미와 법주요 개정사항
2) 개인정보보호 포털(https://privacy.go.kr/edu/ttb/selectBoardArticle.do), 2021년 홈페이지 개인정보 유·노출 사고사례 및 침해사고 대응
3) 개인정보보호 포털(https://privacy.go.kr/inf/gdl/selectBoardArticle.do), 홈페이지 개인정보 노출방지 안내서
4) 네이버 개인정보보호 (https://blog.naver.com/n_privacy/222370264643)

글 ㅣ LG CNS 사이버시큐리티팀 안상운 책임/총괄

챗봇과 대화를 할 수 있어요