배너없음
개인정보 유출방지를 위한 대응 매뉴얼
기자 : 관리자 날짜 : 2021-07-23 (금) 22:27



개인정보 유출사고는 인터파크, 네이트 등 국 내뿐만 아니라 페이스북, 구글 플러스 등처럼 해 외 기업에서도 계속 발생하고 있으며, 개인정 보 유출로 인한 피해는 개인으로는 정신적 피해 뿐만 아니라 명의도용, 보이스피싱에 의한 금전 적 손해, 유괴 등 각종 범죄에 노출될 수 있다. 기 업/기관의 이미지 실추, 소비자단체 등의 불매 운동, 피해자에 대한 집단적 손해배상 시 경영에 큰 타격을 줄 수도 있다. 최근 개인정보 유출 사례를 보면 피해 규모 또 한 이전보다 더욱 커지고 있는 경향을 보여 이에 대한 근본적이고 효율적인 대응의 필요성이 대 두되고 있다. 따라서 개인정보 유출방지와 유출 사고 발생 시 피해를 최소화하고 신속한 대응 및 조치 방법 에 대해 알아보고자 한다.

1. 개인정보 및 개인정보 유출 개요 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결 합하여 알아볼 수 있는 정보를 말하며, 개인정보 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대 하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 경우를 뜻한다. 개인정보 유출에 대응하기 위한 관련 법적 의 무사항으로 각 기관은 ‘개인정보 유출사고 대응 계획’에 관한 사항을 내부 관리계획에 포함하여 수립·수행하여야 하며, 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 공공기관 및 1만 명 이상의 정보주체에 관 한 개인정보를 처리하는 개인정보처리자는 ‘개인 정보 유출사고 대응 매뉴얼’을 마련해야 한다. 또 한, 개인정보가 유출되었음을 인지하였을 때에는 해당 정보주체에게 유출 사실을 통지하여야 하 며, 일정 규모 이상의 정보주체가 유출된 경우에 는 유출 내역과 유출로 인한 피해 최소화를 위해 조치한 결과를 지체없이 개인정보보호위원회 또 는 한국인터넷진흥원에 신고하여야 한다. 2. 개인정보 유출 대응체계 구축 전 직원은 개인정보 유출 사실을 발견하거나 의심스러운 정황을 알게 된 경우에는 즉시 개인 정보보호 담당자에게 전화, 이메일 등으로 신고해야 하며, 개인정보 보호담당자는 신고를 받은 즉시 관계인원에게 유출 규모, 경로 등 유출 사 실 여부를 확인 요청하고, 개인정보 보호책임자 에게 유출 사실 및 피해 규모, 대응 상황 등을 신 속하게 보고하여야 한다. 개인정보 보호책임자는 해당 시점까지 파악된 현황을 CEO에게 신속하게 보고하고 새로운 상 황이 인지될 때마다 수시로 보고해야 하며, 개인 정보 유출이 확인되는 즉시 ‘개인정보 유출 신속 대응팀’을 운영한다. 기관장 또는 CEO는 ‘개인정보 유출 신속대응 팀’을 중심으로 유관부서가 유기적으로 대응하 도록 지원하고 유출대응에 대한 방향성 제시 등 의사결정을 진행한다. 또한 ‘개인정보 유출 신속대응팀’을 운영하여 개인정보 유출 사고 발생에 따른 사고분석, 처 리, 사후 복구 및 예방조치 등을 수행하며, 개인 정보 보호책임자를 중심으로 내부 조직 및 인력 을 효울적으로 분배하여 유출 원인 분석 및 대 응, 유출신고·통지, 이용자 피해구제 등 고객지 원 등으로 세분화하여 신속히 대응한다. 3. 피해 최소화 및 긴급 조치 개인정보 유출 원인을 파악한 후, 피해 최소화 등을 위해 취약점 제거 등 유출 원인을 제거하는 긴급 대응조치를 실시한다. 해킹 등 침해사고 발생으로 인해 개인정보가 유출된 사실을 알게 된 경우에는 개인정보 추가 유출방지를 위한 대책을 마련하고 피해를 최소화 할 수 있는 조치를 강구하여야 한다. 유출된 시스 템 분리 차단 조치, 로그 등 증거자료 확보, 유출 원인 분석, 이용자 및 개인정보취급자 비밀번호 변경 등 기술적 보호조치 강화, 시스템 변경, 기 술지원 의로 및 복구 등과 같은 긴급 조치를 시행 하여야 한다. 사고원인 조사 등이 완료된 이후에 는 개인정보 유출의 직·간접적인 원인을 즉시 제 거하고, 취약점 개선 조치 등을 수행하여야 한다. 내부자가 유출한 경우에는 개인정보 유출자가 개인정보처리시스템에 접속한 이력 및 개인정보 열람·다운로드 등 내역을 확인하여야 한다. 개인 정보 유출자의 개인정보처리시스템에 대한 접근· 접속 경로 등의 정상 여부 등을 확인하고, 비정상 적 접속인 경우 우회 경로를 확인하여 접속을 차 단하여야 한다. 개인정보취급자의 개인정보처리 시스템 접속계정, 접속권한, 접속기록 등을 검토 하여 추가적인 유출 여부를 확인하여야 한다. 개 인정보 유출에 활용된 단말기(PC, 스마트폰 등) 와 매체(USB, 이메일, 출력물 등)를 회수하고, 필 요시 수사기관 등과 협조하여 유출된 개인정보를 회수하기 위한 방법을 강구하여야 한다. 이메일 오발송에 의한 경우에는 이메일 회수가 가능한 경우에는 즉시 회수 조치하고, 불가능한 경우에는 이메일 수신자에게 오발송 메일의 삭 제를 요청하도록 한다. 메일서버외 첨부파일서버 (대용량 메일 등)를 이용하는 경우 첨부 파일서버 운영자에게 관련 파일의 삭제를 요청하여야 한 다. 검색엔진을 통한 노출의 경우 노출된 사업자 의 웹페이지 삭제를 검토하고, 검색엔진에 노출된 개인정보 삭제를 요청하여야 하며, 인증 절차 추가 및 로봇배제 규칙 적용 등 외부 접근을 차단 하여야 한다. 시스템 오류로 인한 노출의 경우는 소스코드 오류, 서버 설정 오류 등 개인정보가 노 출된 원인이 된 시스템 오류를 파악하여 수정하 여야 하며, 개인정보취급자 부주의로 인한 노출 의 경우에는 게시글 및 첨부파일 내 개인정보 노 출 부분을 마스킹 처리하여 게시하도록 한다.

4. 개인정보 유출 통지 및 신고 개인정보 유출 사실을 알게 된 경우에는 정보 주체에게 유출 사실을 통지하고 개인정보보호위 원회 또는 한국인터넷진흥원에 유출 사실을 신 고하여야 한다. 통지 주체는 개인정보를 처리하는 ‘개인정보처 리자’, ‘정보통신서비스 제공자’, 그리고 개인신용 정보를 처리하는 ‘신용정보회사’에서의 상거래기 업 및 법인이 해당된다. 통지 시점은 최초 개인정 보의 유출 사실을 알게 되었을 때로부터의 통지 시점을 말한다. 단, 유출된 개인정보의 확산 및 추 가 유출을 방지하기 위해 긴급한 조치가 필요하다 고 인정되는 경우에는 해당 조치를 취한 후 그로 부터 5일 이내에 정보주체에게 알려야 한다. 통지규모가 단 1명의 정보주체 경우라 할지라 도 해당되며, 통지방법은 서면, 전자우편, 모사 전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법으로 개별 통지하는 것을 말한다. 단, 법 에서 정한 일정규모 이상의 정보주체에 관한 개 인정보가 유출된 경우에는 해당 법에서 정한 방 법으로 통지하여야 한다. 대규모 유출로 24시간 이내 전체 통지가 기술 적으로 불가능한 경우에는 홈페이지 알림창 등 을 통해 방문하는 이용자가 모두 알 수 있도록 현재까지 파악된 유출 사실 등을 게시하고 나서 추가로 해당 정보주체에게 개별적으로 통지를 하여야 한다. 통지할 내용은 ① 유출된 개인정보 항목, ② 유 출된 시점과 그 경위, ③ 정보주체가 취할 수 있는 피해 최소화 조치, ④ 개인정보처리자 대응조치 및 피해 구제절차, ⑤ 정보주체가 피해 신고·상담 등을 접수할 수 있는 부서 및 연락처 등이다. 유출 통지하여야 하는 사항 중, 구체적인 내용 이 확인되지 않은 경우에는 그때가지 확인된 내 용을 중심으로 우선 통지하고, 추가로 확인되는 내용은 확인되는 즉시 통지하여야 한다. 개인정보 유출이 발생되면 개인정보를 처리하 는 ‘개인정보처리자’, ‘정보통신서비스 제공자’, 그리고 개인신용정보를 처리하는 ‘신용정보회 사’에서의 상거래기업 및 법인은 신고를 해야 한 다. 신고시점은 최초 개인정보의 유출 사실을 알 게 되었을 때로부터의 신고 시점을 말하며, 신고 규모는 법에서 정하는 일정규모 이상의 정보주 체에 관한 개인정보가 유출된 경우이다. 신고 방 법은 개인정보보호위원회는 한국인터넷진흥원 의 홈페이지, 전화, 팩스, 이메일, 우편 등의 방 법으로 신고하여야 한다. 신고 내용은 정보주체 에게 해당 개인정보의 유출 사실을 통지한 결과, 유출로 인한 피해를 최소화하기 위한 대책을 마 련하고 필요한 조치를 이행한 결과를 말하며 “개 인정보 유출 신고서”를 제출해야 한다. 5. 정보주체 피해 구제 및 재발 방지 개인정보가 유출로 인한 정보주체 피해구제 등 지원 방안 마련하고 유사사고의 재발 방지를 위해 대책을 수립·시행하여야 한다. 정보주체가 개인정보 유출여부 등을 확인가능 하도록 별도의 홈페이지 등을 제공하여야 하며, 개인정보 유출로 인한 정보주체의 피해 신고·접 수, 상담 문의 등 각종, 민원대응을 위한 방안을 모색해야 한다. 고객불만 해소를 위해 보이스피 싱 등 2차 피해 방지를 위한 유의사항을 사전 안 내하고 유출·피해 및 대응 등을 실시간으로 정확 하고 투명하게 공개하는 등 고객불만 해소를 위 해 노력해야 한다.

또한, 정보주체의 피해구제 계획을 마련하고 개인정보분쟁조정위원회, 손해 배상제도 등도 함께 안내하도록 한다. 끝으로 개인정보유출 재발방지 대책을 위해 개인정보 유출 원인, 취약점 등에 적절한 대책을 마련하고 개인정보 취급자 대상 개인정보보호 교육을 정기적으로 실시하여야 한다. 또한, 개인 정보 유출대응 시나리오 작성 및 유출대응 체계 를 점검하고 보완하며, 홈페이지 취약점 등으로 인한 유출 사고 예방을 위해 안전조치를 강화하 도록 해야 한다

   

 

본사 : 서울시 종로구 사직로 96파크뷰타워 208호 (사)21c안보전략연구원

인터넷신문등록번호 : 서울아 02284 / 발행인 : 박정하

정기간행물등록번호 :서울라10600 / 대표전화 : 02-6953-0031, 02-2278-5846
팩스 : 02-6953-0042, 02-784-2186 / 청소년보호책임자 : 박정하

군사저널소개 | 이용약관 | 개인정보취급방침 | 이메일무단수집거부 | 새소식

Copyright ⓒ군사저널. All rights reserved.