개인정보보호

개인정보보호의 이해

정보보호, 개인정보보호

주요 조직	IT팀, 보안팀	법무팀, 준법감시, 감사
핵심 기반	기술 중심	법과 규제 중심
보호 대상	기업 자산, 내부 시스템	고객 및 정보주체의 개인정보
보고 대상	내부 경영진	개인정보보호위원회(PIPC), 정보주체
데이터 성격	기업 기밀 및 내부 정보	고객이 맡긴 정보

정보보호가 기업 자산 보호 중심이라면, 개인정보보호는 정보주체 권리 보호 중심

개인정보보호는 법적 의무가 강하기 때문에 기업에서 규제 대응과 리스크 관리 측면에서 매우 중요한 영역

개인정보 관련 주요 개념

개인정보 관련 주요 주체

개인정보보호법에서는 개인정보 처리 과정에 등장하는 주체를 다음과 같이 구분

정보주체

개인정보의 대상이 되는 사람으로 개인을 식별할 수 있는 정보의 주인

개인정보처리자

업무 목적으로 개인정보를 처리하는 기관 또는 개인
(기업, 공공기관, 단체 등)

개인정보취급자

개인정보처리자의 지휘·감독을 받아 개인정보를 직접 처리하는 사람
(일반적으로 회사 임직원, 파견 직원, 외주 인력 등이 포함)

개인정보 처리의 의미

개인정보보호법에서 말하는 처리는 단순히 수집만 의미하지 않음

(개인정보의 전체 생애주기를 포함)

 

대표적인 처리 행위

• 수집
• 생성
• 기록
• 저장
• 이용
• 제공
• 파기

개인정보가 수집부터 삭제까지 이동하는 모든 과정이 처리에 해당

개인정보의 정의

개인정보보호법에서는 개인정보를 다음과 같이 정의

살아있는 개인에 관한 정보로서 해당 정보만으로 또는 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보

살아있는 개인

사망자의 정보는 개인정보에 해당하지 않음

식별 가능성

해당 정보만으로 식별되거나 다른 정보와 결합하여 식별 가능해야 함

 

예시

• 이름
• 주민등록번호
• 휴대전화번호
• 이메일
• IP주소
• 영상 및 음성

형태 제한 없음

텍스트뿐 아니라 다음도 개인정보가 될 수 있음

• CCTV 영상
• 얼굴 이미지
• 음성 데이터
• 행동 데이터

개인정보의 유형

개인정보	개인을 직접 식별 가능	엄격한 보호
가명정보	추가 정보 없이는 식별 불가	연구·통계 활용 가능
익명정보	어떤 방법으로도 식별 불가	규제 대상 아님

가명정보는 데이터 산업 활성화를 위해 동의 없이 연구 및 통계 목적으로 활용 가능

개인정보 처리 8대 원칙

개인정보보호법은 개인정보 처리에 대해 다음과 같은 원칙을 제시한다.

1 목적 명확성

개인정보 수집 목적은 명확하고 구체적이어야 한다.

2 목적 외 이용 제한

수집 목적 외의 사용은 원칙적으로 금지된다.

3 최소 수집

서비스 제공에 필요한 최소한의 정보만 수집해야 한다.

4 정확성 유지

정보의 오류로 인해 피해가 발생하지 않도록 최신 상태를 유지해야 한다.

5 안전성 확보

기술적, 관리적, 물리적 보호조치를 수행해야 한다.

6 투명성

개인정보 처리방침을 공개해야 한다.

7 사생활 침해 최소화

가능하다면 익명처리 또는 가명처리를 우선 적용해야 한다.

8 책임성

개인정보처리자는 보호 책임을 부담한다.

정보주체의 권리

열람 요구권:

자신의 개인정보를 확인할 권리

정정 및 삭제 요구권:

잘못된 정보의 수정 및 삭제 요구

처리 정지 요구권:

개인정보 처리 중단 요청

전송 요구권:

자신의 데이터를 다른 기관으로 이전 요청
(마이데이터 제도)

동의 철회권:

언제든지 개인정보 제공 동의를 철회할 수 있음

개인정보 수집 시 필수 고지 사항

개인정보를 수집할 때는 반드시 다음 사항을 고지해야 한다.

1. 수집 목적
2. 수집 항목
3. 보유 및 이용 기간
4. 동의 거부 권리 및 불이익

이 네 가지는 개인정보 동의서에서 법적으로 반드시 포함되어야 하는 항목임

개인정보 제공 구조

제3자 제공

개인정보를 다른 기관의 업무 목적을 위해 제공하는 경우

 

예시

• 카드사가 마케팅 회사에 고객 정보를 제공

이 경우 정보주체 동의가 필요

개인정보 처리 위탁

자신의 업무 수행을 위해 외부 업체에 개인정보 처리를 맡기는 경우이다.

예시

• 고객센터 운영 외주
• 클라우드 서비스 사용
• 문자 발송 서비스

이 경우에도 위탁 계약과 관리 감독 의무가 발생

민감정보와 고유식별정보

개인정보 중에서도 특별히 보호가 필요한 정보가 있다.

민감정보

사생활 침해 가능성이 높은 정보

 

대표 예시

• 건강 정보
• 유전 정보
• 정치 성향
• 종교
• 노동조합 가입 여부
• 범죄 기록
• 생체정보

민감정보는 원칙적으로 처리 금지이며 별도 동의 필요

고유식별정보

단독으로 개인을 식별할 수 있는 정보

 

대표 예시

• 주민등록번호
• 여권번호
• 운전면허번호
• 외국인등록번호

특히 주민등록번호는 법적 근거 없이 처리 자체가 금지

개인정보 파기 원칙

개인정보는 보유기간이 종료되면 지체 없이 파기해야함

종이 문서

• 파쇄
• 소각

전자 데이터

다음 방법으로 복구 불가능하게 삭제

• 로우 레벨 포맷
• 디가우징
• 물리적 파괴

법적 보관 의무가 있는 정보는 일반 DB와 분리 보관

영상정보처리기기(CCTV) 운영 기준

CCTV는 개인정보보호법의 규제를 받음

 

설치 가능 목적

• 범죄 예방
• 시설 안전
• 화재 예방
• 교통 단속

설치 시 다음의 과정 필요

• 안내판 설치
• 접근 통제
• 보관기간 설정

다음 행위는 금지

• 녹음
• 사생활 침해 장소 설치
• 근태 관리 목적 사용

최근 개인정보보호 트렌드

최근 개인정보보호 분야에서는 다음 기술이 중요하게 논의되고 있음

 

대표 보안 트렌드

• Zero Trust
• User Behavior Analytics
• Remote Browser Isolation
• 양자암호
• 동형암호

크리덴셜 스터핑 대응방안

크리덴셜 스터핑

: 이미 유출된 피해자의 계정을 다크웹 등에서 구한 뒤, 정상 사이트에 무차별 대입 공격 진행 -> 성공하면 계정 탈취

 

대응방안

1) MFA 적용: 두 개 이상의 인증 과정을 거쳐서 로그인 진행(휴대폰 인증, OTP 등)

2) 로그인 횟수 제한: 봇을 활용하여 무차별 대입 공격이 진행될 수 있으므로, 로그인 횟수 제한 정책 실행

3) 모니터링: 2번과 비슷한 맥락으로 봇 등 감지를 위해 실시간으로 모니터링 진행

4) CAPTCHA: 봇 감지