개인정보 의미와 안전성 확보를 위한 개발자의 역할

개인정보 유출에 따른 부작용은 매우 심각합니다. 그래서 개인정보 보호법에서는 개인정보를 안전하게 관리하기 위한 최소한의 의무 사항을 정해두고 있습니다.

현재 사내에서 진행하고 있는 프로젝트는 이러한 부분에 대한 조치가 전혀 없는 상황이기에 최소한의 조치를 취하기위해 개인정보에 의미와 안전성을 확보를 위한 조치로 무엇이 있는지를 알아보기로 하였습니다.

개인정보의 의미

개인정보는 단순히, 특정 인물의 이름, 나이와 같은 신상정보만을 의미하지 않습니다. 사용자가 서비스를 이용하는 과정에서 자동 생성되는 로그, 통화내역, 상품 구매내역, GPS 위치정보 등도 개인정보가 될 수 있습니다.

광범위한 개인정보 활용범위

'개인정보 수집' 이라고 하면, 얼핏 회원가입/로그인 기능 외에는 크게 신경쓸 필요가 없는 것처럼 보입니다. 하지만, 위에서 살펴봤듯이 개인정보의 의미는 매우 광범위하며 그 활용하는 범위또한 정말 다양합니다. 실생활에서조차 개인정보는 정말 다양하게 수집되고 활용됩니다.

관리 소홀로 일어나는 개인정보 유출 사례

사례1: 외부로부터 해킹

개인정보 유출 사례는 다양하지만, 그 절반 이상은 해킹을 통해 발생합니다. 특히 급격히 성장하는 스타트업을 표적으로 삼는 공격이 많습니다. 스타트업은 서비스 확장을 위한 기획과 마케팅에 집중하다보니, 개인정보 보호에 상대적으로 소홀하기 쉽기 때문이죠. 내부 인원에 대해서는 개인정보에 접근할 수 있는 권한을 구분하지 않거나, 개인정보를 암호화해서 보관하지 않는 경우가 대표적입니다. 이런 경우 외부인이 개인정보에 쉽게 접근할 수 있는 가능성을 높입니다.

사례2: 내부 직원의 유출

시스템상 보안이 잘 갖춰져 있다면 개인정보 유출이 일어나지 않을까요? 결론부터 말씀드리자면, 아닙니다. 회원들의 개인 정보를 직접적으로 관리하는 직원이 제 3자에게 실수로 유출하는 경우도 많습니다. 실수로 개인정보가 포함된 자료를 홈페이지에 공개하거나, 외부 기관으로 보내는 이메일에 회원들의 개인정보가 담겨있는 파일을 잘못 첨부해 발송하는 경우 등입니다. 심지어 개인이 의도적으로 정보를 판매하기도 하죠.

개인정보 보호법 : 안전성 확보 조치

그렇다면, 어떻게 개인정보 유출 사고를 막을 수 있을까요? 개인정보 보호법에서는 유출되면 안 되는 민감한 개인정보를 안전하게 관리할 수 있도록 가이드라인을 제시하고 있습니다. 바로 "안전성 확보조치"입니다. 개인정보 보호를 위해 무엇을 어떻게 해야 할지 모르겠다면 우선 안전성 확보조치에 대한 내용을 살펴보면 됩니다.

안전성 확보조치란? 개인정보 처리자는 개인정보를 안전하게 관리하기 위해 최소한의 조치를 해야 함

1. 개인정보 처리시 내부 관리 계획 수립, 시행
2. 개인정보 접근 권한 관리 및 접근 통제
3. 개인정보 암호화 보관
4. 개인정보 열람, 처리 접속 기록 보관, 점검
5. 보안 프로그램 설치, 업데이트
6. 물리적 안전 조치
7. 개인정보 유출 사고 대응 계획 수립, 시행
8. 개인정보 파기

앞서 이야기한 2가지의 개인정보 유출 사례들도 사실 안정성 확보조치 기준에 따라 미리 대비했다면 일어나지 않았거나 피해를 최소화 할 수 있었습니다.

안전성 확보조치 기준에 따른 개인정보 보호 가이드

1. 개인정보 처리를 위한 내부 관리 계획 수립 시행

안전한 개인정보의 관리는 결코 혼자서 아루어낼 수 없습니다. 명확한 계획을 세우고 내부 임직원들과 공유해야 합니다.

2. 개인정보에 대한 접근 권한 관리 및 접근 통제

내부 인원이라도 아무나 개인정보에 접근하고 활용할 수 있게 하면 안 됩니다. 업무 수행에 꼭 필요한 범위 내에서 개인정보 열람이나 처리에 대한 권한을 다르게 설정해야 합니다.

개인정보를 한 곳에서 관리하는 시스템이 있다면 담당자마다 1인 1계정 원칙으로 철저하게 관리해야 합니다.

3. 개인정보 암호화

유출되면 안 될 민감한 정보는 암호화해서 보관해야 합니다. 여기서 이야기하는 암호화란, 크게 두 가지 방법을 이야기합니다. 하나는 개인 정보 데이터를 보관할 때 암호화하여 보관해야 하는 것이고, 또 하나는 개인정보가 포함된 파일에 암호를 걸어두는 것입니다.

4. 접속 기록 보관, 점검

개인정보 유출 사고가 발생하는 경우 빠르게 상황을 파악할 수 있도록 내부 담당자가 언제 개인정보를 열람하고 어떤 목적으로 개인 정보를 처리했는지 기록해야 합니다.

개인정보 모니터링

#회사명처리자명처리일자접속자 IP수행내용

1	오퍼스엠	가*다	2023-10-05 12:19	123.45.678.90	광고성 수신동의
2	오퍼스엠	라*사	2023-10-05 13:19	123.45.678.90	캐치폼 등록
3	오퍼스엠	아*차	2023-10-05 14:19	123.45.678.90	이벤트 참가 상세

예시: 캐치시큐 접속 기록 화면

5. 보안프로그램 설치, 업데이트

악성 프로그램 등을 방지할 수 있는 백신 등의 보안 프로그램을 기본적으로 설치해야 합니다. 항상 실시간 검사 설정을 켜두고 최신 버전을 유지할 수 있게 업데이트를 게을리해선 안됩니다.

6. 물리적 안전조치

개인정보를 물리적으로 안전하게 보관할 수 있는 시설을 마련하고, 잠금장치 등을 설치해둬야 합니다.

7. 개인정보 유출에 대한 대응 메뉴얼 마련 및 시행

개인정보 유출되는 상황이 일어났을 때를 대비하기 위한 대응 매뉴얼을 마련해둬야 합니다.

8. 개인정보 파기

이용 목적이 달성되어 더 이상 보관할 필요가 없는 개인정보는 다시 복원할 수 없게 완전히 삭제해야 합니다.

위반시 과태료 부과 가능성

지금까지 설명한 안전성 확보조치 의무 중 한 가지라도 위반하면 3천만원 이하의 과태료가 부과됩니다. 그러나, 유출되는 개인정보의 규모 및 비즈니스 모델에 따라 과태료 부과 및 처벌 내용은 상이해질 수 있습니다. 명품 플랫폼 '발란'의 경우, 개인정보 유출로 인해 과징금 5억원을 부과하게 되었습니다.

아래 url을 참고해보면, 그 자세한 내용을 알 수 있습니다.

https://www.hani.co.kr/arti/economy/it/1054244.html

위의 경우는 조금 심한 경우지만, 일반적으로는 아래와 같이 과징금 및 과태료를 부과하게 됩니다.

위반 내용과징금과태료

개인정보 보호 조치 위반, 개인정보 파기 위반	5000만원	3000만원
개인정보 유출 토지, 신고 위반, 개인정보 보호 조치 위반	3000만원	2000만원
개인정보 보호 조치 위반, 개인정보 파기 위반	9000만원	2000만원
개인정보 보호 조치, 개인정보 파기 위반	1000만원	1500만원

온라인으로 수집받은 개인정보는 1건만 유출되더라도 개인정보 유출에 해당합니다. 이 한 건의 유출로 인해 관련 기관으로 신고가 접수되면 사실 확인을 위해 조사가 진행됩니다. 개인정보 보호법에서 규정하고 있는 의무 사항들은 개인정보 수집 방식이 적법했는지, 의무 사항에 따라 관리를 잘했는지, 고객의 민원이 들어왔을 때 정해진 기간 안에 적절하게 대응했는지 등 다양한 범위를 다루고 있습니다. 그래서 관련 기관이 사실을 확인할 때 보통 하나의 위반 사항만 발견되지 않습니다. 여러 위반 사항이 합쳐지면 내야할 벌금은 더욱 늘어납니다. 발란 처럼요.

그리고 발란 만큼 대규모의 사건은 아니지만 생각보다 자잘한 이유로도 과태료를 물곤 합니다. (혹시라도 문제가 생길거 같아, 해당 회사 이름은 가렸습니다.)

안전성 확보 조치: 실천, 일단 암호화부터...

사실 안전성 확보 조치를 취하기위한 대부분의 사항은 개발자 혼자서 할만한 내용은 거의 없습니다. 대부분, 회사 차원에서 책임져야하는 부분도 많죠. 하지만 암호화 만큼은 개발자가 단독으로 수행할 수 있으며, 사실 개발자만이 수행할 수 있기도 합니다. 개인정보 암호화 및 데이터 관리 부분에 대한 내용은 이미 잘 정리된 게시글이 있어, 해당 링크만 공유드리겠습니다.

가비아, 암호화 해야 하는 정보와 저장하면 안되는 정보

마무리

지금까지 개인정보 보호 의무, 안전성 확보조치에 대해 알아보았습니다. 다만, 안전성 확보조치는 '최소한의' 안전 조치라는 점을 기억해야 합니다.

특히 새로운 시도와 고객 중심의 다양한 서비스를 제공하려고 하는 스타트업이라면 신경 써야 할 것들이 더 많습니다. 특히 서비스 개선과 마케팅을 위해 개인정보를 수집하고 활용하는 과정에서 개인정보 침해 사례가 정말 많이 발생합니다. 작은 허점도 큰 문제로 이어지는 개인정보 침해, 개인정보 유출 리스크를 예방하려면 개인정보 보호 방법에 대한 꾸준한 공부가 필요합니다.

3 줄 요약

1. 개인정보를 수집한 후에는 안전하게 관리할 의무가 있습니다.
2. 개인정보 보호조치 의무를 지킬 수 있는 내부 관리 계획을 수립하고 지키면 좋습니다.
3. 개발자로서 개인정보의 데이터를 어떻게 다루어야하는지에 대한 내용은 꼭 숙지 해야합니다.

출처 및 참고

• 개인정보의 암호화 조치 안내서(2020.12)
• 홈페이지 개인정보 노출방지 안내서(2020.12)
• 개발자 대상 개인정보 보호조치 적용 가이드
• 개인정보의 기술적 관리적 보호조치 적용 가이드
• 개인정보의 기술적 관리적 보호조치 기준(제2020-5호)해설서(2020.12)_
• 개인정보 안전성 확보조치 기준(제2020-2호)해설서(2020.12)