개인정보보호법 주요내용 및 침해사례

- 공공기관 개인정보보호 교육-

2012. 09
목 차

1 개인정보 라이프사이클과 분쟁조정 사례

2 공공기관 개인정보 유출 및 오남용 사례 분석

3 개인정보보호법에 따른 보호 조치 항목
1. 개인정보 라이프사이클과 분쟁조정 사례
1. 개인정보의 라이프 사이클과 위반 사례
개인정보는 사람의 일생처럼 일련의 생명주기(라이프 사이클)을 가지고 있으며, 관련 법률은
각 단계별로 기관 또는 기업이 준수해야 할 내용을 담고 있음

<개인정보의 생명주기와 주요 준수사항>

이용
수집 제공 파기
저장

생명주기 의미 주요 준수 사항
 수집 시 동의 획득(고유식별정보 별도 동의)
민원인(정보주체)이 서비스 이용을 위해 웹 사이트 또는  개인정보 처리방침 수립 및 고지
수집
신청서 등을 이용하여 기업 또는 기관에 제공하는 단계  만14세 미만 아동의 개인정보 수집 절차
 정보주체의 권리 보장
 개인정보 취급자 관리
민원인이 서비스 이용을 위해 제공한 정보를 저장하고,  내부관리계획의 수립, 이행, 점검, 개선
이용, 저장
이를 통해 조회 등의 업무 수행하는 단계  안전조치 이행(개인정보 취급자에 의한 유출,
오남용 방지)
 제공 시 별도의 동의 획득
제공 업무 제휴, 대국민 서비스를 위한 부처간 정보 공유 단계  위탁자에 대한 관리감독(개인정보보호 서약서)
 기술적 관리적 보호조치
민원 해소 등으로 인해 민원인의 정보가 더 이상 필요하지  파기 방법 및 시기
파기
않아, 정보를 삭제하는 단계  기술적 관리적 보호조치
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 수집 시 수집 및 이용 목적, 수집항목, 보유 기간 등에 대한 고지 및 동의 필수

개인정보 수집·이용 시 동의 - 위반사례

멤버십 가입 신청 시, 수집·이용목적, 수집 항목, 보유·이용 기간 등 동의를 받아야

하는 항목 중 일부 누락

업무관행을 유지하며
제공 받는 자, 이용목적,
제공 항목, 보유·이용 기간,
동의거부 권리 등을 고지하지 멤버십 신청자
A 호텔 않고 개인정보 수집
1. 개인정보의 라이프 사이클과 위반 사례
만14세 미만 아동의 개인정보 수집 시 법정대리인의 동의는 필수

만14세 미만 아동정보 수집 시 법정대리인의 동의 - 위반사례

하교하는 초등학생을 대상으로 이름, 학년, 반, 전화번호, 부모 연락처, 직업 등의

개인정보를 법정대리인의 동의 없이 수집

“이름이 뭐니?”
“집 전화번호는 뭐니?” 지속적인
“부모님 뭐하시니? 학원 홍보전화

학원관계자

정보제공

초등학생
아동의 부모
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 제3자 제공 시 별도의 고지 및 동의 획득 필수

개인정보 제3자 제공 시 마동의 - 위반사례

본래의 서비스 제공계약과는 관계없는 제휴사에게 회원 개인정보를 제공하면서도

회원에게 별도 고지 및 동의를 받지 않음

업무제휴 관계

본래 서비스 목적과는 무관한

업무목적으로 제휴사에 개인정보 제공
쇼핑센터 보험사

고객
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 취급위탁 시 수탁사업자의 개인정보보호 수준강화를 위해 개인정보 보호조치
명시 및 감독강화
개인정보 처리 수탁자에 대한 관리·감독 - 위반사례

IT서비스 운영에 대해 전문업체에 외부 위탁하였으나 수탁사 개인정보 취급업무에

대해 관리감독을 수행하지 않아 개인정보 유출

IT 서비스 운영위탁

수탁사에 대한 IT위탁업체
여행사 개인정보보호 관리감독 미이 (수탁사)
행

불법 유출한
개인정보판매
암거래상 수탁사 소속 퇴직 직원
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 취급위탁 시 수탁사업자의 개인정보보호 수준강화를 위해 개인정보 보호조치
명시 및 감독강화
개인정보 처리 수탁자에 대한 관리·감독 - 참고사례

개인정보 취급위탁 계약서에 수탁자의 개인정보 보호조치 등 관련 사항을

명시하고 지속적인 관리·감독 실시

수탁자가 이행해야
하는 개인정보
보호조치 명시

A사의 개인정보 처리방침 중 일부

1. 개인정보의 라이프 사이클과 위반 사례
저장된 개인정보는 접근권한 관리 및 보호조치를 적용하여야 하며, 비인가자에 대한 불법적인
이용을 방지하여야 함
개인정보 저장 및 관리 - 위반사례

서울 ○○구청에 근무하던 공익요원A는 근무지에서 출처를 알 수 없는 외장하드를 발견하

고 집으로 가져왔으나, 해당 외장하드에는 구민 60만 명의 호적등본을 스캔한 이미지가 저
장되어 있었음

② 외장하드에서
개인정보 확인

① 외장하드를 훔침

A의 집

경찰서
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 취급자가 퇴사, 부서이동 등으로 인해 업무가 변경될 경우, 접근권한을 변경하고
관리해야 함
개인정보 접근권한 관리 - 위반사례

퇴직한 직원의 접근권한을 변경하지 않아, 퇴직한 직원이 개인정보처리 시스템에

접근한 후 개인정보 유출

쇼핑센터 재직 시 사용하던
ID, PW로 접근 시도

고객DB 접근 후 고객정보 유출
퇴직자 쇼핑센터 서버

경쟁업체에
고객명부 판매
경쟁업체
1. 개인정보의 라이프 사이클과 위반 사례
이용자의 비밀번호 또는 주민등록번호와 같은 고유식별정보는 암호화 후 저장되어야 함

개인정보 DB 암호화 - 위반사례

주민등록번호, 비밀번호 등을 암호화 하지 않아 고객의 주민등록번호와 비밀번호가 그대로

유출됨

해킹 시도

해커 암호화 되지 않은 회원의
주민등록번호, 비밀번호 유출
리조트
고객DB 서버

홍길동 601111-1234567
김순돌 420112-2345123
… 781230-2345123
… 801231-2011111
개인정보
암거래상
1. 개인정보의 라이프 사이클과 위반 사례
개인정보에 접근하는 개인정보 취급자의 접근행위에 대해 접근 시간, 접근목적, 작업 내역 등을
기록하여 보관하여야 함

접근사실 자동기록·보존장치 운영 - 위반사례

내부직원에 의해 회원 개인정보가 유출되었으나, 개인정보 접근사실을 기록하지 않아

유출자를 확인할 수 없음

개인정보 처리시스템에 접속하여

고객 개인정보 불법 조회 및 유출

내부직원
고객 DB 서버

접속기록이
보관되지 않음
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 수집 시 고지한 보유기간이 지나면 해당 개인정보는 파기하여야 함

개인정보 파기 - 위반사례

결혼중개업체가 이벤트 행사 목적으로 수집한 개인정보를 이벤트 종료 후에도

파기하지 않고 홍보 목적으로 사용

이벤트

고객 이벤트 종료 후에도 여행상품 소개 등

문자메시지 지속 발송 결혼중개업체
1. 개인정보의 라이프 사이클과 위반 사례
포털사이트를 운영하는 S사의 개인정보 유출사고는 시스템에 대한 직접적인 해킹이 아닌
내부직원의 PC를 감염시켜 이를 통해 개인정보를 유출한 사례임

S사 개인정보 유출사고 개요(출처 : 디지털타임스)

‘E’ SW업체 SK컴즈 사내망

<사건개요>
 발생 시기 : 2011년 8월 1. 업데이트 서버 변조

 유출 규모 : 회원 3,500만 2. 악성코드 게시
명의 개인정보
3.
 유출항목 : 이름, 아이디, 악성
주민등록번호, 휴대전화번 코드
호등 ‘F’ 업체 서버 감염
해커 SK컴즈 서버망
 유출경로 : 외부 SW 업데 5. DB서버 접속
4. 좀비PC 원격제어
이트 서버 해킹  S사 직
원 PC 감염  DB 관리자,
아이디, 비밀번호 수집 
DB 유출

7. 회원정보 전송

6. 회원정보 유출
(2012년 8월)
2. 공공기관 개인정보 유출 및 오남용 사례 분석
2. 공공기관 개인정보 유출 및 오남용 사례 분석
정부/공공기관에서 발생하는 개인정보 침해사고는 지속적으로 증가하고 있으나, 광범위한 개
인정보 취급자 수로 인해 적절한 관리 및 인식교육은 이뤄지지 못함

헤드라인으로 보는 정부/공공기관의 개인정보 침해

<정부/공공기관의 개인정보 침해의 특징>

• 외부 해킹이 아닌 실수 또는 의도적(개인정보 매매) 개인정보 유출
• 침해 건수는 작지만 정보의 “최신성” 및 “민감도”는 높음
• 지인 혹은 중간 브로커 매개
2. 공공기관 개인정보 유출 및 오남용 사례 분석
공무원과 통신사 직원들이 심부름센터에 개인정보 매매. 개인정보 불법 거래 시 어려운 해킹
기술 없이도 개인정보 취급자와의 거래를 통해 개인정보 유출 가능

심부름센터 개인정보 불법 유출 흐름도(출처 : 경찰청)

<사건개요> <심부름 센터> 380여건

 발생 시기 : 2012년 7월 • 유가증권 위조
의뢰자 • 주민등록 초본
 유출 규모 : 약 3,000여건
<공무원>
 매매금액 : 2년간 4억 2천 90여건
만원 • 주민등록초본
• 가족관계증명서 조회
 불법 유출 흐름 : 의뢰자
심부름센터 직원 공무
심부름 센터
원, 통신사 직원, 보험설계 <콜센터 직원>
3,200여건
사로부터 정보 구매 의
뢰자에게 재판매 • 통신사 고객정보 접속
• 개인정보 조회

<보험설계사>
<인터넷쇼핑몰> 90여건

• 차량, 개인정보 조회
(2012년 7월)
2. 공공기관 개인정보 유출 및 오남용 사례 분석
정부/공공기관의 수집기간(5년에서 10년 보유)이 만료된 개인정보를 파기하지 않고 보관한
사실이 밝혀짐
정부/공공기관의 개인정보 미파기 현황(출처 : 동아일보)
(2010년 12월)

기관명 개인정보 파일 보유인원 규정을 어긴 건수 비고

소득세 과세표준 및 세역신고서 약 3,440만명 약 1,909만명

면세사업자 수입금액신고 약 495만명 약 315만명

 국세청 보유 개인정보
38억3,000만건 중
국세청 근로소득 원청징수 영수증 약 1억3,600만명 약 6,686만면
8억1,216만건이
규정기간 위반
소득세 합산파일 약 5,143만명 약 2,865만명

부동산 등기자료 약 17억 6,500만명 약 4억 3,000만명

교통법규 위반자 과태료 및

약 9,600만명 약 1억 5,173만명
통고처분정보  경찰청 보유 개인정보
약 4억6,337만건 중
경찰청 무인단속 카메라에 의한 단속정보 약 531만명 약 1억 77만명 약 1억 2,884만건 이상
규정 위반
운전면허 결격정보 약 59만명 약 50만명

<비고>
개인정보 노출건수 : 300~700개 공공기관에서 2만~9만개 개인정보 노출
3. 개인정보보호법에 따른 보호 조치
3. 개인정보보호법에 따른 보호 조치

주요 용어설명

“개인정보 처리”의 정의

개인정보의 수집, 생성, 기록, 저장, 보유, 가공,

개인정보를 통해 이뤄지는 거의 모든
편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개,
업무과정을 개인정보처리로 간주할 수 있음
파기, 그 밖에 이와 유사한 행위

“개인정보 파일”의 정의

개인정보를 쉽게 검색할 수 있도록 일정한 데이터베이스 뿐만 아니라 PC에 저장된

규칙에 따라 체계적으로 배열하거나 구성한 엑셀파일이나, 문서철 등 개인정보가
개인정보의 집합물 기록된 모든 종류를 포괄함

“개인정보 취급자”의 정의

직접적으로 개인정보에 관한 업무를 담당하거나 민원 관련 업무 담당자를 비롯해,

그밖에 업무상 개인정보에 접근해 처리하는 개인정보가 기록된 문서를 통해 업무를
모든 직원 처리하는 담당자를 포함함
3. 개인정보보호법에 따른 보호 조치
개인정보 수집 시에는 반드시 동의를 획득하여야 하며, 수집하는 개인정보 항목, 수집 및
이용목적, 보유 및 이용기간을 명시하여야 함

개인정보 수집 시 동의획득

개인정보를 수집하는 모든 웹 사이트 또는 문서 상 동의획득 절차가 존재합니까?

3가지 항목에 대하여 안내하고

동의여부 선택 절차를 마련
3. 개인정보보호법에 따른 보호 조치
만14세 미만 아동의 개인정보 수집 시 별도의 수단(동의수단 : 휴대전화인증, 공인인증서,
i-PIN 등)을 통해 해당 아동의 법정대리인으로부터 동의를 획득하여야 함

만14세 미만 아동 개인정보 수집

만14세 미만 아동의 개인정보 수집 시 법정대리인의 동의를 획득하고 있습니까?

만14세 미만 아동의 개인정보 수집 절차

아동 법정대리인의 정보수집

동의획득 사항 알림 동의, 동의 안 함을
클릭하는 방법으로는
동의획득 불가

법정대리인의 동의

아동의 개인정보 수집
3. 개인정보보호법에 따른 보호 조치
개인정보를 수집하는 기관의 개인정보 보호책임자는 개인정보보호를 위한 내부 관리계획을
수립하고 이를 이행하여야 함

내부관리계획 수립 및 운영

개인정보보호 내부관리계획을 검토해 본 적이 있습니까?

내부관리계획 주요 내용 법무부 개인정보 보호지침

• 개인정보 보호책임자의 자격요건 및 지정

• 개인정보 보호 책임자와 개인정보취급자의 역할 및
책임
• 개인정보 내부관리계획의 수립 및 승인
• 개인정보의 기술적ㆍ관리적 보호조치 이행 여부의
내부 점검
• 그 밖에 개인정보보호를 위해 필요한 사항
• 개인정보보호 교육 계획 수립 및 교육 실시
• 보호조치 이행을 위한 세부적인 추진 방안
3. 개인정보보호법에 따른 보호 조치
수집된 개인정보를 업무 목적 외 제3자에게 제공하거나, 업무 상 위탁을 위해 제공 시에는 반드
시 암호화된 파일을 제공하여야 함

개인정보 파일 암호화

개인정보 파일 제공 시 암호화된 상태로 보내고 있습니까?

한글문서 암호화 예시 엑셀파일 암호화 예시

• 엑셀파일 암호 설정 : 저장  도구 
일반옵션 암호입력
3. 개인정보보호법에 따른 보호 조치
개인정보 처리시스템 접근에 필요한 패스워드에 대해 별도의 작성 규칙을 수립하고 이에 대한
이행이 필요함

개인정보 처리시스템 접근통제

개인정보 처리시스템 접속 시 패드워드의 길이는 8자리 이상입니까?

패스워드 작성 규칙

2 추측하기 어려운 비밀번호 생성

rmfkd!bl12
• 일련번호 , 전화번호 같은 추측하기 쉬운
1 최소 10자리 또는 9자리 이상 비밀번호 사용 금지

• 영대문자, 영소문자, 특수문자, 숫자 조합으로

2종류 이상 조합 시 : 10자리 이상 <개인정보보호법 지침 고시 및 해설서>
3종류 이상 조합 시 : 8자리 이상 (2011년 11월 기준)
3. 개인정보보호법에 따른 보호 조치
개인정보 취급자가 개인정보 처리시스템에 저장된 개인정보 조회 시 업무 상 필요한 최소한의
개인정보 항목만을 이용할 수 있도록 접근권한을 부여하여야 함

개인정보 처리시스템 접근 권한 부여

개인정보 조회는 업무목적에 따라, 필요한 항목만을 검색하시고 계십니까?

접근권한 부여 개인정보 마스킹 처리 예시

• 개인정보 취급자는 업무 상 필요한 최소한의

개인정보 항목만을 이용할 수 있도록
접근권한을 설정하여야 함

• 개인정보 취급자의 직급 등 권한에 따라

차등하여 구분하여야 함
3. 개인정보보호법에 따른 보호 조치
개인정보 처리시스템 접근기록은 반드시 6개월 이상 보관하도록 하여야 하며, 접속이 위변조
되지 않도록 주기적인 확인과 감독이 필요함

개인정보 처리시스템 접속기록 위변조 방지

개인정보 취급자의 접속기록은 안전하게 보관되고 있습니까?

접속기록 보관 규칙 접속기록 예시

① ② ③ ④ ⑤
• 접속기록은 월 1회 이상 정기적으로 확인ㆍ감독

• 접속기록은 6개월 이상 보존ㆍ관리

① : 이용자 식별정보

• 위ㆍ변조 방지를 위한 정기적인 백업을 수행 ② : 취급자 식별정보

③ : 접속 일시

④ : 접속지

⑤ : 수행 업무
3. 개인정보보호법에 따른 보호 조치
수집된 개인정보의 수집 목적 또는 이용기간이 만료 후 파기하여야 하며, 별도의 보관이 필요한
경우에는 별도의 테이블 생성 등을 통해 분리 보관하여야 함

개인정보의 파기

이용기간 또는 목적이 달성된 개인정보는 안전하게 파기하고 있습니까?

개인정보 취급자의 역할 수탁업체에 제공한 고객정보 파기

• 파기 시 개인정보 취급자 PC 내 저장된 개인정보 • 제휴 계약서에 제공하는 정보에 대한

파일 또는 문서도 파기대상임 기술적ㆍ관리적 보호조치, 파기 의무 등을
명시
3. 개인정보보호법에 따른 보호 조치
예외적인 경우를 제외하고는 누구에게나 공개된 장소에서는 CCTV를 설치할 수 없음

CCTV 설치 및 운영 관리

일반인들에게 공개된 장소에 CCTV가 설치되어 있습니까?

CCTV 설치 금지구역 CCTV 설치 예외규정

• CCTV 설치 금지 구역
법령 범죄예방, 교통정보
- 공개된 장소 수사 수집
예) 광장, 공항, 주차장, 놀이터, 지하철역,
상점출입구 및 내부 등 특별한 출입제한 없는
공개된 장소에서의 CCTV 설치 금지
시설안전, 교통단속
화재예방
- 사생활 침해 우려가 있는 장소(목욕탕)
3. 개인정보보호법에 따른 보호 조치
CCTV를 설치할 경우, CCTV 설치 안내문을 부착하여야 하며, CCTV를 통해 기록된
영상정보에 대한 관리감독을 위한 관리지침을 수립하고 이행하여야 함

CCTV 설치 및 운영 관리

CCTV 설치 및 이용 관리 규정을 이행하고 있습니까?

CCTV 설치 시 유의사항 CCTV 설치 안내문 예제

 설치에 대한 안내판 설치

 설치목적을 벗어난 카메라 임의조작, 녹음 금지

 운영(위탁내용 포함) 관리지침 마련 및 안전성

확보조치 이행
3. 개인정보보호법에 따른 보호 조치
개인정보 처리시스템 이용자의 PC에는 바이러스 백신, 패치 등 PC 정보보호를 위한 SW가 설
치되어 있어야 함

정보보호 SW이용

개인정보 취급자의 PC는 악성코드 등으로부터 안전하게 보호되고 있습니까?

개인정보 취급자 역할 보안설정 예시

• PC지키미 활용

• 백신 소프트웨어 월 1회 이상
주기적으로 갱신ㆍ점검

• 업무와 무관한 파일 및 SW
다운로드 및 설치 금지

• PC 방화벽 기능 사용
3. 개인정보보호법에 따른 보호 조치
신규 개인정보 처리시스템 개발 시 위험요인을 분석하고 개선사항을 도출하는 일련의 평가절차인
개인정보영향평가를 실시하여야 하며, 공공기관은 의무적으로 수행하여야 함

개인정보 영향평가

신규 개인정보 처리시스템을 구축할 예정입니까?

개인정보 영향평가 구성 개인정보 영향평가 절차

• 개인정보 영향평가는 사전 분석, 영향평가 평가대상 사업의 개요 및 목적

실시, 평가결과의 정리 3단계로 구성

평가대상 개인정보 파일의 개요

• 평가 시 처리하는 개인정보의 수, 개인정보
제3자 제공 여부, 정보주체의 권리
침해여부, 민감정보 또는 고유식별정보의 평가항목 및 범위

처리 침해위험 정도 등을 고려

평가방법 및 평가 수행자
3. 개인정보보호법에 따른 보호 조치
개인정보 유출사고가 발생할 경우, 관계기관 및 정보주체에게 신고 및 통지하여야 하며, 통지
시에는 유출시점, 유출된 개인정보 항목, 피해구제 절차 등에 대한 내용을 담고 있어야 함

개인정보 유출사고 발생 시 통지 및 신고절차

정보주체에게 통지 통지시기
유출사고
• 후속 피해의 최소화 및 예방 사고발생 후 유출현황, 사건경위 및
발생 • 피해구제 방안 잠정적 원인 등을 파악 후 통지

통지내용
• 유출된 개인정보의 항목
• 유출된 시점과 그 경위
대책마련 • 유출로 인한 피해 최소화를 위한
방법
• 유출사고 원인 분석 • 개인정보 처리자의 대응조치 및
• 기술지원 의뢰 및 복구 피해 구제절차
• 직원 징계, 사법조치 의뢰 • 피해 접수 위한 담당부서 및 연락처
• 유사사고 재발 방지대책 수립

통지방법
• 웹사이트 첫 화면 게재
• 전화
• 이메일 등
감사합니다.