“개인정보보호·안전관리 중요…사업 성패 가를 수 있다”

– 이진규 네이버 개인정보보호팀장, 스타트업이 알아야할 개인정보보호 기초실무 강연

인터넷 쇼핑몰인 인터파크가 최근 해킹을 당해 절반에 가까운 1030만명의 회원 개인정보가 유출됐다.

이름과 아이디, 이메일, 주소, 전화번호 등의 이용자 개인정보가 무더기로 악의적인 해커의 손에 들어가 30억원 규모의 비트코인을 요구하는 협박 용도로 사용됐다.

인터파크는 수집이 원칙적으로 금지돼 있는 주민등록번호와 금융정보는 유출되지 않았고 비밀번호는 암호화돼 있다고 했다. 유출된 이들 정보들이 주민번호보다 그나마 덜 중요하지 않냐는 얘기를 하고 싶었는지 모르지만, 소중한 내 개인정보를 믿고 맡겼던 이용자들은 분노하고 있다.

이전에도 비슷한 사고를 많이 겪었다. 유출된 개인정보는 인터넷상에서 마구 떠돌다 언제 2차, 3차 피해를 유발하게 될 지 모르는 상황이다.

인터파크는 사고 이후 이용자들에게 개인정보 유출 사실을 공지하고 통지하는 과정에서도 미흡함을 드러냈다. 늑장 공지와 개인정보유출 확인 절차를 운영한데다 ‘주체’가 빠진 사과 공지, 유출 정보에 대한 애매모호한 문구 등에 눈살이 찌푸려졌다.

더욱이 개인정보보호관리체계(PIMS) 인증을 획득했고 여러 보안 조치 등으로 개인정보보호에 많은 노력을 기울였으나 지능형지속위협(APT) 공격으로 어쩔 수 없었다는 식의 입장을 내면서 많은 이용자들의 공분을 샀다.

크기변환_인터파크 개인정보유출 첫 공지수사 중인 경찰청은 인터파크 해킹이 북한 정찰총국 소행으로 판단내린 상태다. 하지만 고객이 믿고 맡긴 소중한 개인정보를 지키지 못한 인터파크는 어떠한 이유로든 면책받을 수 없다는 의견이 지배적이다.

잊을만하면 또다시 터지면서 반복되는 대규모 개인정보 유출 사고. 단 한 명의 개인정보라도 수집해 이용하는 기업이라면 개인정보를 대하는 시각과 원칙부터 바로 세울 필요가 있다. 올바른 수집·이용 방식부터 필수적인 개인정보 안전 관리·보호 방안, 심지어 사고 후 대처법까지도 제대로 인지해 이행해야 한다.

지난 27일 네이버가 운영하는 D2 스타트업 팩토리에서 진행된 ‘스타트업을 위한 개인정보보호 기초실무 강좌’에서는 이처럼 기업이 기본적으로 알아야 할 개인정보보호 상식과 관련법규정과 조치 방안 등이 소개됐다.

네이버는 7월 ‘정보보호의 달’을 맞아 매주 수요일마다 스타트업이 꼭 알아야 할 실무 정보와 노하우를 공유하는 개인정보보호 교육 프로그램을 한 달 동안 진행했다.

DSC01090이날 마지막 강좌에서 강연을 맡은 이진규 네이버 개인정보보호팀장은 가장 먼저 “(정보주체가 개인정보의 공개와 이용에 관해 스스로 결정할 권리인) 개인정보자기결정권은 헌법상 보호되는 특수한 형태의 기본권이다. 때문에 당연히 보호해야 한다”며 개인정보보호 원칙을 강조했다.

이 팀장은 “사업자는 개인정보를 수집해 멋대로 사용하면 안된다”고 지적하며 “오너십이 있는 정보주체로부터 잠깐 빌려쓰는 것이고 안전하게 관리해야 하고, 동의를 거친 목적에 해당하는 범위만 사용해야 한다. 이용목적대로 다 쓰고 난 뒤에는 안전하게 파기해야 할 의무가 있다”고 말했다.

이어 “개인정보는 수집, 이용·저장, 제공·위탁, 파기에 이르는 생애주기별로 필요한 조치를 취해야 한다”면서 “개인정보보호 생명주기 각 단계별로 개인정보보호법률에 따라 어떠한 의무사항이 발생하는지 알고 있어야 한다”고 덧붙였다.

강연 말미에는 “가장 중요한 것은 개인정보를 안전하게 관리하고 보호하는 것”이라며 “스타트업으로 사업을 시작하고 점차 이름이 알려지며 정부기관의 관심을 받게 된다. 이용자들이 서비스를 널리 이용하도록 확장하는 것도 중요하지만 개인정보보호를 소홀히 하면 안된다. 자칫하면 사업의 성패를 가를 수 있다”고 경고했다.

이 팀장의 이날 강연 내용을 정리해본다.

개인정보보호 관련법은 공공과 민간을 아우르는 일반법인 개인정보보호법이 대표적이다. 정보통신·금융 등 분야별 개인정보보호에 관한 사항은 특별법에 따라 규율을 받는다. 정보통신망법(정보통신망 이용 촉진 및 정보보호 등에 관한 법률), 신용정보보호법(신용정보의 이용 및 보호에 관한 법률)을 비롯해 위치정보보호법(위치정보의 보호 및 이용 등에 관한 법률), 전기통신사업법도 개인정보보호 관련법률이다.

일반법과 특별법 가운데 특별법이 우선 적용된다.

개인정보는 살아있는 자연인을 식별할 수 있는 일체의 정보를 의미한다.

법령상 개인정보의 3대 요건은 생존하는 개인, 개인에 관한 정보, 식별하거나 식별 가능한 정보다.

성명, 주민등록번호 등 인적사항, 얼굴, 지문 등 신체정보, 기호나 성향이 드러나는 정신적 정보, 소득, 신용카드번호와 같은 재산정보, 학력, 전과기록, 직장 정보 등 사회적 정보까지 해당된다.

주민번호의 경우에는 그 자체로 개인을 식별할 수 있다. 두가지 이상의 정보를 결합해 개인을 특정할 수 있다면(알아볼 수 있다면) 이 역시 개인정보다.

개인정보는 ‘상황정보(Contextual Information)’다. 현실에서 개인정보로 판단되는 정보들도 포함된다. 예를 들면 기기정보(IMEI, IMSI, USIM), 휴대전화번호 마지막 4자리, GPS 좌표나 동 단위 위치 값 등이 해당된다.

개인정보 생애주기개인정보 수집시 수집 및 이용목적, 수집항목, 이용기간 등을 정보주체에게 알리고 동의를 받아야 한다. 고유식별정보와 민감정보는 개인정보 수집과는 별도로 동의받아야 하고, 주민번호의 경우에는 근거 없는 수집·이용이 금지돼 있다.

정보통신망법에는 개인정보 최소수집 원칙을 명시하고 있다. 만 14세 미만 아동의 개인정보 수집시에는 법정대리인의 동의를 받아야 한다. 이 때 동의에 필요한 최소 정보를 요구할 수 있다.

정보통신서비스 제공자 등은 개인정보가 안전하게 저장·전송될 수 있도록 정보통신망을 통해 이용자 개인정보나 인증정보를 송·수신하는 경우 보안서버 구축 등 HTTPS를 적용해야 한다.

개인정보는 수집시에 동의받은 목적 범위 내에서만 이용해야 하고, 보유기간 동안 안전하게 관리해야 한다.

개인정보의 기술적·관리적 보호조치 기준에는 내부관리계획의 수립·시행, 접근통제, 접속기록 위·변조 방지, 개인정보 암호화, 악성프로그램 방지, 물리적 접근방지, 출력·복사시 보호조치, 개인정보 표시 제한 보호조치 등을 적용할 것을 명시하고 있다.

개인정보 제3자 제공과 취급위탁은 개인정보를 제3자에게 전달하는 행위 양태는 같지만 법률적 효과는 다르기 때문에 잘 구분해 적용해야 한다.

법에서는 개인정보에 대한 수집·이용목적 달성시 ‘지체 없이’ 복구·재생할 수 없는 방법으로 파기해야 한다. 통상 ‘지체 없이’에 해당하는 기간은 5일 이내다.

‘복구·재생할 수 없는 방법’은 하드디스크드라이브(HDD)의 경우 공인된 프로그램(Low Level Format/Overwriting)을 사용해 파기하거나 천공, 디가우징, 소각 등이 사용된다. CD/DVD는 파쇄나 소각, DB서버에 저장된 개인정보는 임의의 값 덮어쓰기 후 삭제해 오버라이팅(overwriting)될 수 있는 상태로 만들어야 한다.

개인정보 기술관리적 보호조치정보통신망법상 정보통신서비스 제공자들은 일부 예외를 제외하고는 이용자 주민번호 수집, 이용이 금지돼 있다.

건수에 관계없이 개인정보가 분실·도난·누출된 사실을 알게 된 때에는 지체없이 방송통신위원회에 신고하고 이용자에게 통지해야 한다. 단 한 명의 개인정보만 유출되어도 신고해야 한다. 개인정보보호법에는 1만명 이상일 경우 신고하도록 돼 있다.

주의할 것은 ‘공지’는 ‘통지’가 아니라는 점이다. 이용자에게 통지할 때는 이메일, 문자 등 이용자가 직접 볼 수 있는 방법으로 해야 한다. 단순히 웹사이트에만 공지하는 것으로는 안된다.

연말 직전 3개월간 이용자 수 일일 평균 100만명 이상, 전년도 매출액 100억 이상 사업자는 이용자에게 개인정보 이용내역을 연 1회 통지해야 한다.

개인정보 유효기간제 시행에 따라 1년동안 정보통신서비스서비스를 이용하지 않은 이용자의 개인정보를 파기 등의 조치를 해야 한다. 파기 한 달 전에 필요한 사항을 이용자에게 고지해야 한다.

정보통신망법 등 개인정보보호 법규정은 지속적으로 개정되고 있어 관련내용을 숙지할 필요가 있다.

관련법령 정보 등은 방송통신위원회, 행정자치부, 한국인터넷진흥원에서 운영하는 개인정보보호 포털, 개인정보보호 종합포털, 보호나라 사이트 등에서 살펴볼 수 있다.

네이버는 인터넷기업의 개인정보보호 지원을 위해 ‘프라이버시센터’를 운영하고 있다. 프라이버시센터에서는 국·영문 ‘인터넷기업의 개인정보보호 가이드라인’을 내려받을 수 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다