안녕하세요. 캐치시큐입니다.
개인정보 보호법에는 ‘개인정보의 안전성 확보조치 기준’이라는 내용이 있습니다.
이 기준은 회사의 규모 등에 상관없이 개인정보를 처리한다면 어떤 기업이든 지켜야 하는 내용인데요.
개인정보 유출 사고가 발생한 기업의 위반 내용을 보면 안전성 확보조치를 준수하지 못한 경우가 많습니다.
이는 중소기업뿐만 아니라 누구나 한 번쯤 들어봤을 만한 기업들도 있습니다.
안전성 확보조치 기준 위반 과태료 사례
- 서적 및 잡지류 소매업
해당 기업은 이벤트를 진행하면서 구*폼을 통해 이용자들을 대상으로 개인정보를 수집했습니다.
개인정보가 수집되는 폼의 ‘결과 요약보기’의 설정을 ‘공개’로 설정하여 교보문고 담당자 외에도 개인정보를 확인할 수 있었습니다.
이벤트 참여자 96명과 설문 참여자 35명의 개인정보가 유출되었습니다.
개인정보위는 이벤트 관련 과태료 300만 원과 설문조사 관련 과태료 300만 원을 부과했습니다. - 제조 · 판매 중인 생활가전제품 온라인 홍보, 제품문의 관련 웹사이트 운영
해당 기업은 불법적인 접근을 방지하기 위한 침입 · 차단 시스템의 운영이 부실하였습니다.
그 결과 해커에 의해 SQL 인젝션 공격을 받았고 개인정보 관리자 계정이 탈취되었습니다.
아울러 개인정보 수집 당시 명시한 보유 · 이용 기간이 지난 개인정보를 파기하지 않았습니다.
개인정보위는 과징금 2억 2,400만 원과 과태료 1,080만 원을 부과했습니다. - 육류 도매업
해당 기업은 이용자들을 대상으로 이벤트를 진행했습니다.
이용자들의 개인정보를 수집하기 위해 네*버폼을 이용했습니다.
수집된 개인정보의 ‘결과보기’ 설정을 ‘공개’로 설정하여 참여자 67명의 개인정보가 유출되었습니다.
개인정보위는 과태료 300만 원을 부과했습니다. - 건강기능식품 온라인 쇼핑몰
해당 기업은 개인정보처리시스템에 대한 접근권한을 제한하지 않고 악성코드 파일이 실행되도록 하는 접근 통제를 소홀히 하였습니다.
그 결과 이용자 75명의 신용카드 결제 정보를 포함하여 119,756명의 개인정보가 유출되었습니다.
개인정보위는 과징금 4억 6,457만 원과 과태료 720만 원을 부과했습니다.
안전성 확보조치 기준
개인정보 유출 사고가 발생했을 경우 안전성 확보조치 기준을 잘 준수하고 있다는 것을 입증하면 처분이 감경되는 경우도 있습니다.
개인정보의 안전성 확보조치 기준은 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록
안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 안전조치에 관한 최소한의 기준입니다.
개인정보 보호법에서 규정하고 있는 안전성 확보조치 기준은 다음과 같습니다.
- 개인정보 처리 시 내부 관리 계획 수립 · 시행
개인정보처리자는 개인정보를 안전하게 관리할 수 있도록 내부 의사결정을 통해 계획을 세우고 내부 임직원과 공유해야 합니다. - 개인정보 접근 권한 관리 및 접근 통제
회사의 임직원이라도 직급, 부서 등에 따라 업무 수행에 필요한 범위 내에서 개인정보 열람, 처리 등에 대한 권한이 세부적으로 설정돼야 합니다. - 개인정보 암호화 보관
수집한 개인정보 데이터를 보관할 때 유출이 되더라도 식별하기 어렵게 보관해야 하며, 그 이전에 개인정보가 포함된 파일에 암호를 통해 안전하게 보관해야 합니다. - 개인정보 열람 및 처리 접속 기록 보관 · 점검
누가 · 언제 · 어디서 접근했는지, 무엇을 했는지 알 수 있어야 합니다.
개인정보 유출 시 외부에서 공격을 받아 유출된 것인지, 내부에서 실수로 유출된 것인지 빠르게 파악할 수 있습니다. - 보안 프로그램 설치 · 업데이트
악성 프로그램 설치 방지 등을 위해 백신, 위험한 사이트 접근 통제 프로그램 등 최신 버전으로 관리하여야 합니다. - 물리적 안전 조치
개인정보가 담긴 이동식저장매체 등은 안전한 장소에 보관되어야 하며, 잠금장치 등을 통해 아무나 출입이 불가능하도록 해야 합니다. - 개인정보 유출 사고 대응 계획 수립 · 시행
개인정보 유출 사고 발생 시 신고, 대응, 백업 등의 메뉴얼을 수립하여 빠른 조치를 취할 수 있도록 해야 합니다. - 개인정보 파기
개인정보 보유 · 이용 기간 만료 시 복원이 불가능하도록 파기해야 합니다.
이 중에서 많은 기업들이 지키지 못하고 있는 항목은 개인정보 접근 권한 관리 및 접근 통제, 개인정보 암호화 보관, 개인정보 열람 및 처리 접속 기록 보관 · 점검, 개인정보 파기입니다.
실제로 개인정보 유출 사고로 과징금, 과태료 처분 받는 기업들의 위반 항목 중 다수가 위의 4개입니다.
안전성 확보조치 기준 쉽게 준수하는 방법
내부 관리 계획 수립, 보안 프로그램 설치 · 업데이트, 물리적 안전조치, 개인정보 유출 사고 대응 계획 수립 · 시행의 항목은 그렇게 어렵지 않지만, 나머지 항목은 쉽지 않습니다.
보통 규모가 있는 중견기업, 대기업의 경우 구축을 통해 쉽게 준수하지만 구축에는 많은 비용과 인력이 필요하기 때문에 규모가 작은 중소기업에서는 쉽지 않습니다.
그렇다고 실무진이 직접 확인하여 파기하는 것, 개인정보처리시스템에 접근 시 수기로 기록하는 것과 매번 직원마다 접근은 어디까지 하는지 파악하는 것은 비효율적입니다.
그래서 추천해 드리는 방법은 해당 기능들이 있는 솔루션을 사용하는 것입니다.
추가적인 비용이 드는 것은 마찬가지이지만 직접 구축하는 것에 비해 훨씬 저렴한 가격으로 사용이 가능하며, 즉시 적용이 가능한 것이 장점입니다.
많은 솔루션들이 있지만 그중에서 캐치시큐를 사용해 보세요.
캐치시큐는 많은 기업이 준수하기 어려워하는 항목들을 쉽게 준수할 수 있도록 기능을 제공하고 있습니다.
- 개인정보 암호화
AES-256이라는 암호화 알고리즘을 통해 안전하게 보관합니다.
이는 현재 복호화가 가장 어려운 암호화 알고리즘으로 개인정보가 유출되더라도 암호화 키가 없다면 불가능에 가까울 정도입니다. - 개인정보 자동 파기
개인정보 수집 시 설정한 보유 · 이용 기간이 지나면 수집한 개인정보를 자동으로 파기합니다.
파기된 개인정보는 복구가 불가능합니다. - 개인정보 모니터링
다양한 모니터링 기능을 제공하고 있습니다.
서비스 이용, 개인정보 처리, 광고성 정보 수신동의 처리, 개인정보 수집 및 파기 내역의 로그를 제공해 누가, 언제, 어디서, 무엇을 했는지 파악이 가능합니다.
또한 엑셀 다운로드 기능을 제공하여 보안 담당자의 자료 제출, 수탁사 점검 등에 이용할 수 있습니다. - 접근 권한 설정 및 접근 통제
부서별, 직급별로 권한 설정이 가능합니다.
개인정보 다운로드, 보안 설정 등에 대한 권한이 제한되어 불필요한 접근을 방지하여 개인정보가 내부에서 유출되는 위험을 최소화할 수 있습니다.
또한 접속지 IP 제한 기능과 2단계 보안 인증 기능을 통해 외부에서의 해킹을 예방할 수 있습니다.
개인정보 안전성 확보조치 기준 준수, 캐치시큐와 함께 하세요!