안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
프로그램 참가 신청, 설문조사 등 다양한 목적으로 구글 폼이나 네이버 폼 등의 설문지를 활용하는 것을 자주 볼 수 있는데요.
문제는, 이런 설문 양식을 통해 개인정보를 수집 받는다면 개인정보보호가 제대로 되지 않는다는 점입니다.
설문 도구를 통해 개인정보를 받으면 왜 안되는지, 최근 개인정보 유출 사례를 중심으로 공유하려고 합니다
Check!
- 공개 설정 실수로 인한 유출 사고
- 동의 없는 개인정보 수집
- 내부 직원의 실수? 혹은 고의 유출
- 마치며
1. 공개 설정 실수로 인한 유출 사고
2022년 4월, 한 연예 기획사가 회원권 환불을 위해 구글 폼을 활용했습니다.
이 때 설문 결과의 접근 권한을 ‘링크가 있는 모든 사용자’로 설정하면서 문제가 발생했습니다. 이 설정은 설문 결과를 누구나 볼 수 있도록 공개하는 것이었는데요.
구글 폼을 통해 개인정보를 제출한 사람들의 정보가 불특정 다수에게 그대로 노출되었습니다. 이 사건은 크게 이슈가 되었고, 당연히 개인정보 유출에 해당하여 과태료를 받았습니다.
위와 같은 사례는 구글 폼을 활용해서 이벤트, 설문조사, 참가자 모집 등을 진행했던 게임사, 쇼핑몰, 공공기관 등에서 빈번하게 발생했습니다. 이런 위반 사항에 대해서는 300만 원에서 1,400만 원 사이의 과태료가 부과되었습니다.
2. 동의없는 개인정보 수집
2022년 4월 어느 카쉐어링 서비스의 앱과 웹페이지가 먹통이 되는 서비스 장애가 발생했습니다.
운영사는 서비스 장애에 대한 피해 범위를 확인하기 위해 고객들의 이름과 연락처를 SNS 메신저를 통해 수집했는데요.
여기에 더해 구글 폼 링크를 게시하고 피해 회원의 이름, 휴대전화 번호, 아이디, 빌린 차량의 위치와 번호 등을 수집했습니다.
이 과정에서 피해를 접수한 회원들의 개인정보가 노출되는 사고도 발생했는데요.
개인정보 유출이 이슈가 되자, 개인정보를 수집할 때 동의 절차가 없었던 점 또한 문제가 되었습니다.
개인정보보호위원회는 이런 조처에 위법 가능성이 높다고 보고 소명을 요구할 예정이며, 위법으로 판단되면 시정 명령과 함께 최대 5천만 원의 과태료가 부과될 수 있습니다.
해당 기업은 과태료뿐만 아니라 피해를 본 고객에 대한 보상 절차 마련 등 후속 조치에도 힘써야 했습니다.
이 외에도 설문 도구를 활용해 개인정보를 수집하는 곳 대부분이 개인정보 수집 동의를 제대로 받고 있지 않은데요.
단순히 “동의 합니다./동의하지 않습니다.”로 답변받는 것이 아니라, 반드시 개인정보 수집·이용에 대한 적법한 동의서가 있어야 합니다. 이는 명백한 위반 사항이므로 각별히 주의해야 합니다.
3. 내부 직원의 실수? 혹은 고의 유출
지난해, 공무원이 개인정보를 무단 조회하여 약 2년 동안 흥신소 업자에게 1,101건의 개인정보를 유출한 것이 범죄에 악용된 사건이 발생했습니다.
이 경우는 설문 양식을 사용해서 개인정보가 유출된 직접적인 사례는 아니었습니다. 하지만 시스템에 등록된 개인정보를 업무 목적과 관계없이 담당자가 조회할 수 있었고, 조회에 대한 기록도 따로 관리되지 않았다는 점에서 개인정보가 유출되는 일반적인 과정을 잘 보여줍니다.
설문 도구를 활용해 수집한 개인정보는 보통 엑셀 등의 문서로 저장하여 이메일/문자 발송 시스템에 업로드하거나 내부 직원 간에 파일로 공유됩니다.
문제는 이 프로세스 어디에도 담당자의 실수나 고의 유출이 발생했을 때 이를 파악하거나 방지할 장치가 없다는 것입니다. 대부분의 경우 개인정보가 유출된 사실을 파악하기조차 쉽지 않습니다.
실제로 방송통신위원회가 조사한 2019년도 ‘개인정보 침해사고 경험 유형(복수 응답)’ 설문조사를 살펴보면 개인정보 처리자가 개인정보를 무단으로 수집해 마케팅 목적으로 이용한 경우가 46.4%로 가장 많았고, 내부의 보안 관리 소홀로 개인정보가 유출된 경우가 40.1%를 차지했습니다. 해킹으로 인해 개인정보가 유출된 경우는 23.2%로 나타났습니다.
이렇게 개인정보가 유출되는 것을 방지하기 위해 개인정보보호법은 개인정보를 열람·처리하는 담당자에게 업무 목적에 필요한 최소한의 권한을 부여하고, 인사이동이나 퇴사 등 담당자의 업무 변동이 일어났을 때 그 권한을 말소하는 등의 관리를 엄격하게 하도록 하고 있습니다.
또한 어떤 목적으로 개인정보를 열람·처리했는지 시스템상에 접근 기록을 남겨 주기적으로 점검하도록 하고 있는데요.
공공기관에서의 잇따른 개인정보 유출 사고로 개인정보보호에 대한 관리·감독을 더욱 강화한다는 개인정보보호 위원회의 발표가 지난 7월에 있었습니다.
민간 기업과 단체 등에서도 개인정보를 안전하게 수집할 수 있는 대안을 찾아 자체 시스템을 개발하는 것까지 염두에 두는 추세입니다.
4. 마치며
개인정보 유출 사고가 끊이지 않고 발생하는 것을 보면, 개인정보보호를 미뤄도 되는 영역이라고 생각하는 분이 아직 많은 것 같습니다.
개인정보가 문제가 되는 과정을 살펴보면 하나의 취약점이 전체 현황에 대한 점검으로 이어지며 또 다른 취약점이 추가로 적발되는 경우가 많기에 어떤 영역도 소홀히 할 수 없는데요.
개인과 정부의 관심이 높아지는 만큼, 최근 저희 캐치시큐에도 개인정보보호를 제대로 관리하고 싶다는 기업의 문의가 많아지고 있습니다.
여러 상황 속 다양한 부서에서 규제를 완벽하게 반영하는 시스템을 매번 자체 개발한다는 것이 결코 쉬운 일은 아니기에, 실질적으로 개인정보 유출을 방지하는 캐치폼 서비스에 대한 관심도 높아지고 있는데요.
신뢰받는 서비스의 기본이 되는 개인정보보호가 누구에게나 당연한 가치로 여겨지기를 바랍니다.
감사합니다.
