개인정보 유출되면 큰일 나는 거 아시죠? 그래서 개인정보 보호법은 개인정보를 안전하게 관리하기 위한 최소한의 의무 사항을 정해두고 있어요. 위반하면 과태료를 받게 되는 중요한 내용인데 모르는 분이 많더라고요. 개인정보 수집한다면 꼭 알아야 하는 개인정보 보호법, 그중에서도 개인정보 보호조치의 기준이 되는 “안전성 확보조치”에 대해 알아보고 과태료 예방하세요.

 

관리 소홀로 일어나는 개인정보 유출 사례

 

외부로부터 해킹

최근 연달아 들리는 개인정보 유출 사고의 절반 이상은 해킹을 통해 발생합니다. 특히 급격히 성장하는 스타트업을 표적으로 삼는 공격이 많아요. 스타트업은 서비스를 확장하기 위한 기획과 마케팅에 집중하다 보니 개인정보 보호에 상대적으로 소홀하기 쉬워요. 내부 인원에 대해서는 개인정보에 접근할 수 있는 권한을 달리 설정하지 않거나, 개인정보를 암호화해서 보관하지 않는 경우가 대표적입니다. 이런 경우 외부인이 개인정보에 쉽게 접근할 수 있는 가능성이 커져요.

내부 직원의 유출

시스템상 보안이 잘 갖춰져 있다면 개인정보 유출이 일어나지 않을까요? 회원들의 개인 정보를 직접적으로 관리하는 직원이 제 3자에게 실수로 유출하는 경우도 많습니다. 실수로 개인정보가 포함된 자료를 홈페이지에 공개하거나, 외부 기관으로 보내는 이메일에 회원들의 개인정보가 담겨있는 파일을 잘못 첨부해 발송하는 경우 등입니다. 심지어 의도적으로 개인정보를 판매하기도 하죠.

 

개인정보 보호법 : 안전성 확보조치

 

이런 개인정보 유출 사고를 과연 막을 수 있을까요? 개인정보 보호법에서는 유출되면 안 되는 민감한 개인정보를 안전하게 관리할 수 있도록 가이드라인을 제시하고 있어요. 바로 “안전성 확보조치” 입니다. 개인정보 보호를 위해 무엇을 어떻게 해야 할지 모르겠다면 우선 안전성 확보조치에 대한 내용을 살펴보면 됩니다.

위에서 소개한 개인정보 유출 사례들도 안전성 확보조치 기준에 따라 미리 대비했다면 일어나지 않았거나 피해를 최소화할 수 있었을 거예요.

 

안전성 확보조치 기준에 따른 개인정보 보호 가이드

 

① 개인정보 처리를 위한 내부 관리 계획 수립·시행

개인정보를 안전하게 관리할 수 있는 명확한 계획을 세우고 내부 임직원과 공유해야 해요.
※ 내부 관리 계획 수립 첫걸음, 개인정보 보호 책임자 바로 알기 (클릭)

② 개인정보에 대한 접근 권한 관리 및 접근 통제

내부 인원이라도 아무나 개인정보에 접근하고 활용할 수 있게 하면 안 됩니다. 업무 수행에 꼭 필요한 범위 내에서 개인정보 열람이나 처리에 대한 권한을 다르게 설정해야 해요. 개인정보를 한 곳에서 관리하는 시스템이 있다면 담당자마다 1인 1 계정을 원칙으로 하고 철저하게 관리해야 합니다.

③ 개인정보 암호화

유출되면 안 될 민감한 정보는 암호화해서 보관해야 해요. 여기서 암호화란, 크게 두 가지 방법을 얘기합니다. 하나는 개인정보 데이터를 보관할 때 암호화하여 보관해야 하는 것이고, 개인정보가 포함된 파일에 암호를 걸어두는 것입니다.

④ 접속 기록 보관·점검

개인정보 유출 사고가 발생하는 경우 빠르게 상황을 파악할 수 있도록 내부 담당자가 언제 개인정보를 열람하고 어떤 목적으로 개인정보를 처리했는지 기록해야 합니다.

예시 – 캐치시큐 접속 기록 화면

⑤ 보안프로그램 설치·업데이트

악성 프로그램 등을 방지할 수 있는 백신 등의 보안 프로그램을 기본적으로 설치해야 합니다. 항상 실시간 검사 설정을 켜두고 최신 버전을 유지할 수 있게 업데이트를 게을리하면 안 돼요.

⑥ 물리적 안전 조치

개인정보를 물리적으로도 안전하게 보관할 수 있는 시설을 마련하고, 잠금장치 등을 설치해둬야 합니다.

⑦ 개인정보 유출에 대한 대응 매뉴얼 마련 및 시행

개인정보 유출되는 상황이 일어났을 때를 대비하기 위한 대응 매뉴얼을 마련해둬야 합니다.

⑧ 개인정보 파기

이용 목적이 달성되어 더 이상 보관할 필요가 없는 개인정보는 다시 복원할 수 없게 완전히 삭제해야 합니다.
※ 모든 개인정보는 보유 기간이 정해져 있다? 개인정보 파기에 대해 알아보기 (클릭)

 

과태료, 정말 받을까?

 

지금까지 설명한 안전성 확보조치 의무 중 한 가지라도 위반하면 3천만 원 이하의 과태료가 부과됩니다.

온라인으로 수집받은 개인정보는 1건만 유출되더라도 개인정보 유출에 해당하는데요, 이 한 건의 유출로 인해 관련 기관으로 신고가 접수되면 사실 확인을 위해 조사가 진행됩니다. 개인정보 보호법에서 규정하고 있는 의무 사항들은 개인정보 수집 방식이 적법했는지, 의무 사항에 따라 관리를 잘했는지, 고객의 민원이 들어왔을 때 정해진 기간 안에 적절하게 대응했는지 등 다양한 범위를 다루고 있습니다. 그래서 관련 기관이 사실을 확인할 때 보통 하나의 위반 사항만 발견되지 않아요. 여러 위반 사항이 합쳐지면 내야 할 벌금이 더욱 늘어납니다.

 

마무리

 

지금까지 개인정보를 수집하고 나서 꼭 지켜야 하는 개인정보 보호 의무, 안전성 확보조치에 대해 알아봤습니다. 다만, 안전성 확보조치는 ‘최소한의’ 안전 조치라는 점을 기억해야 해요. 개인정보 보호를 위해 꼭 지켜야 하는 기본적인 사항이라는 의미입니다.

새로운 시장을 개척하고 고객 중심의 다양한 서비스를 시도하는 스타트업이라면 신경 써야 할 것들이 더 많습니다. 특히 서비스 개선과 마케팅을 위해 개인정보를 수집하고 활용하는 과정에서 개인정보 침해 사례가 정말 많이 발생해요. 작은 허점도 큰 문제로 이어지는 개인정보 침해 · 개인정보 유출 리스크를 예방하려면 개인정보 보호 방법에 대한 꾸준한 공부가 필요합니다!

 

세 줄 요약

1. 개인정보를 수집한 후에는 안전하게 관리할 의무가 있어요.
2. 개인정보 보호조치 의무를 지킬 수 있는 내부 관리 계획을 수립하고 지켜주세요.
3. 안전성 확보조치 기준은 하나라도 위반하면 안 돼요.