특화2. (KISA) 2020 정보통신서비스 제공 사업자 대상 개인정보보호 특화 교육 - 중소 사업자

PERSONAL INFORMATION PROTECTION GUIDELINE
정보통신서비스 제공 사업자 대상
개인정보신고 사례를
통해살펴보는
사업자를위한개인정보
Case study!
정보통신서비스제공 사업자 대상
개인정보 Case study!
I 개인정보 침해 신고 및 상담 접수 개요
CONTENTS
II 개인정보 신고 사례로 알아보는 대응방안
Ⅲ 개인정보 유출 신고 현황 및 원인
Ⅳ 해킹 유형별 침해 사례 및 대응 방안
I
개인정보 침해 신고 및 상담 접수 개요
정보통신서비스 제공 사업자 대상 개인정보 Case study!
1 개인정보침해 신고센터 소개
개인정보침해 신고센터 설립 근거 및 조사 권한
✓ 개인 및 공공기관, 사업자의 개인정보 관련 침해 신고 및 상담의 처리를 위하여 법령에 따라 운영

✓ 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)에 설립 근거를 두고 있음
「개인정보 보호법」 제62조(침해 사실의 신고 등), 제63조(자료제출 요구 및 검사), 제68조(권한의 위임·위탁)
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조(한국인터넷진흥원), 제64조(자료의 제출 등), 제65조(권한의 위임·위탁)
신고·상담 신청 대상
✓ 개인정보보호법 또는 정보통신망법에서 규정하고 있는 개인정보에 관한 권리 또는 이익을 침해받은 사람 및 그 대리인
신고·상담 신청 방법
전화 국번없이 118
인터넷 http://privacy.kisa.or.kr(개인정보침해 신고센터)
전자우편 118@kisa.or.kr
우편 (58324) 전라남도 나주시 진흥길9 개인정보침해 신고센터

1 개인정보침해 신고센터 소개
개인정보침해 신고센터 업무처리 절차도

2 개인정보침해 신고 및 상담
개인정보침해 신고 및 상담 접수
✓ 2019년 개인정보침해 신고·상담 건수 총 159,255건
✓ 주민등록번호 등 타인 정보의 훼손·침해·도용이 약 84% 이고, 신용정보 관련 문의 등

정보통신망법 적용 대상 외 관련 건이 약 5.5%으로 두 유형이 전체 89.5%를 차지
연도별 개인정보침해 신고 및 상담 접수 현황
구분 2012년 2013년 2014년 2015년 2016년 2017년 2018년 2019년
신고 2,058 2,347 2,992 2,316 1,559 1,249 1,325 1,041
상담 164,743 175,389 155,908 149,835 96,651 103,873 163,172 158,214
계 166,801 177,736 158,900 152,151 98,210 105,122 164,497 159,255
2019년 개인정보 침해 신고·상담 접수 유형을 살펴보면 주민등록번호 등
타인 정보의 훼손·침해·도용이 134,000여건(약 84%)이고, 신용정보 관련 문의 등 정보통신망법 적용 대상 외 관련

건이
8,700여건(약 5.5%)으로 두 유형이 전체 89.5%를 차지하며 2018년과 마찬가지로 가장 큰 비중을 차지

Ⅱ
개인정보 보호 신고 사례로
알아보는 대응방안
1 개인정보의 수집·이용
SNS를 통한 이벤트 시 개인정보 수집
Q Questions
온라인쇼핑사이트에서 SNS를 통한
이벤트를 진행하는데 이용자의 이름,
이벤트 참여시 개인정보를 수집한다면
반드시 개인정보 수집·이용에 대한
A
이메일 등을 요구하는데 개인정보 수집에
동의를 받아야 합니다.
대한 어떠한 동의절차가 없어도 되나요?
Answers
개인정보 보호법
제39조의3 (개인정보의 수집〮이용 동의 등에 대한 특례)

① 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든
사항을 이용자에게 알리고 동의를 받아야 한다.
온라인쇼핑사이트 등 정보통신서비스제공자가 서비스 제공을 위해 이용자의 개인정보를

수집하려면 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유ㆍ이용 기간을
사업자
이용자에게 사전에 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 합니다. 구체적으로
조치요령
살펴보면 위의 ‘서비스 제공’은 물건 판매 뿐만 아니라 웹사이트 회원 가입, 게시판 운영, 경품 행사
이벤트 등 대가 여부와 상관없이 모두 포함될 수 있습니다.
1 개인정보의 수집·이용
개인정보 수집·이용·제공 및 처리 위탁의 동의
Q Questions
온라인 사이트에서 경품이벤트를 하는데

개인정보 처리 관련 동의를 하는데 개인정보
개인정보 제공 및 처리 위탁에 대한
동의를 받을 때는 개인정보의
A
수집과 개인정보 제공 및 처리 위탁의 내용에 수집·이용에 대한 동의와 구분하여
대해 한꺼번에 동의를 요구합니다. 받아야 합니다.
Answers

온라인 사이트를 운영하는 정보통신서비스 제공자는 경품 이벤트를 위해 개인정보를 수집하는 경우

사업자
개인정보 수집·이용 동의 예외사유에 해당하는 경우를 제외하고는 이용자에 대해 개인정보
조치요령
수집·이용에 대한 동의를 받아야 합니다.
1 개인정보의 이용·제3자 제공
결혼사진업체의 홍보 목적 고객 결혼사진 이용
Q Questions
결혼사진스튜디오에서 사진이 잘 나와서

홍보자료로 사용해도 되냐고 해서 승낙을
하였습니다. 근데 얼마 후 사진과 저의 실명까지
이용자는 정보통신서비스 제공자가
개인정보를 당초 수집 목적 범위를 초과하여
이용하려는 경우 이용자에게 별도의 동의를
명시하여 인터넷에 게시하였습니다. 받아야 합니다.
A
호의로 승낙을 하였으나 실명까지 공개할 거라 또한 정보통신서비스 제공자는 이용자의
생각하지 못해서 게시글의 삭제를 요청하였으나 삭제 요구에 신속하게 조치를 하여야 합니다.
업체에서 삭제를 하지 않습니다.
Answers

결혼사진스튜디오는 고객의 결혼사진을 홍보 목적으로 이용하고자 한다면 고객에게 구체적인 홍보

목적(예, 온라인 또는 오프라인 등), 이용하려는 개인정보 항목(예, 결혼사진, 성명 등), 홍보 이용
사업자
! 조치요령
기간 등을 명확하게 알리고 동의를 받아야 합니다. 만약 고객이 성명·결혼사진 등을 더 이상 홍보
목적으로 이용하는 것을 원치 않으면 지체 없이 해당 정보의 삭제 등의 필요한 조치를 하여야
합니다.
공개된 개인정보를 이용하여 홍보 문자 발송
Q Questions
구직사이트에 게시된 휴대전화번호를 이용하여

서비스 홍보문자를 보냈다고 합니다.
구직사이트에 공개된 개인정보를 서비스
홍보에 이용하려면 정보주체의 동의를
A
이렇게 홍보문자를 보낼 수 있는 건가요? 받아야 합니다.
Answers

사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
이 사례의 경우 통상적으로 구직사이트 이용자가 인터넷 사이트에 자신의 개인정보를

공개하는 것은 구직을 위해 자신의 이력을 알리고 직원 채용을 원하는 자와 연락을
사업자 하고자 하기 위함입니다.
! 조치요령 따라서 공개된 정보를 구직 및 구인이외의 목적으로 이용
하고자 하는 경우 정보주체에게 별도의 개인정보 수집·이용에 대한 동의를 받아야 합니다.
아동의 개인정보를 이용한 법정대리인 개인정보 수집·이용
Q Questions
초등학교 앞에서 지나가는 초등학생을
대상으로 사탕을 주며 학생들의 이름, 학년,
부모의 휴대전화 번호를 동의 없이 수집하고,
만 14세 미만 아동의 개인정보를
수집·이용하는 경우에는 부모 등의
A
다음날 부모들에게 허락 없이 홍보 문자를 법정대리인의 동의를 받아야 합니다.
보냈습니다.
Answers

④ 정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의
동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다.
정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를

받으려면 그 법정대리인의 동의를 받아야 하고, 문자메시지 등 법령에 따라 법정대리인이
사업자
! 조치요령
동의하였는지를 확인하여야 합니다.
더불어 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기
쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 합니다.
2 개인정보의 안전성 확보조치
홈페이지 관리자 페이지 노출
Q Questions
반려견 등록사이트 관리자 페이지가 아무런

로그인 등의 인증절차 없이 접속이
관리자 페이지는 접근 권한이
인가된 자만 접속할 수 있도록 인증절차
A
되었습니다. 등록 신청자들의 주민등록번호
등의 보호조치를 하여야 합니다.
등의 개인정보를 볼 수 있습니다.
Answers
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등
대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
이 사례의 경우에는 반려견 등록을 위해 반려견 소유자의 개인정보를 수집하는

홈페이지는 개인정보가 처리되는 시스템으로 관리자 페이지는 접근 권한이 인가된 자만 접속할 수 있도록
사업자
!
보호조치를 하여야 하며, 반려견 소유자의 주민등록번호는 저장 시 반드시 암호화하여야 합니다.
조치요령 주민등록번호 등의 반려견 소유자의 개인정보가 접근 권한 없는 자에게 노출된 경우 개인정보보호법상의
개인정보 유출 통지 또는 신고절차에 따라 관련 조치를 하여야 합니다
홈페이지 증명서 발급 시 타인 정보 노출
Q Questions
○○공사 홈페이지에서 증명서 발급 시 해당
증명서 미리보기 화면에서 새로고침을
하면 다른 사람의 증명서(성명, 주소,
정보주체의 개인정보가 조회 가능한 페이지는
이용자 본인만 확인할 수 있도록
A
인증정보 확인 등의 방법으로
주민등록번호 앞자리, 증명내용 등 포함)가
접근 통제를 하여야 합니다.
보입니다.
Answers
증명서를 발급할 수 있는 홈페이지에서 타인의 증명서가 보이는 것은 홈페이지 설계 및

사업자 개발 오류로 인한 발생 가능성이 높습니다.
! 조치요령 개인정보처리자는 이러한 오류의 원인을 신속하게 파악하여 권한 없는 개인정보 열람이 발생하지
않도록 보안조치를 하여야 합니다.
다수인에게 서비스 홍보 단체 메일 발송
Q Questions
○○공사가 대국민 서비스 홍보를 위해

고객에게 이메일을 발송하였는데 수신인이
다수의 고객에게 전자우편을 한꺼번에
발송하여 수신자 전체에게 다른 고객들의
A
4,000여명 정도이고, 이메일 주소가 모두 보여 전자우편주소가 공개되는 경우 개인정보
집니다. 유출에 해당될 수 있습니다.
Answers
이러한 개인정보 유출을 예방하기 위해서는 다수인에게 전자우편을 발송하는 경우

사업자 전자우편시스템의 개별 발송 기능을 이용하여 수신자의 개인
! 조치요령 정보가 유출되지 않도록 개별 발송하여야 합니다. 또한 개인정보보호법상의 개인정보
유출 통지 또는 신고 절차에 따라 관련 조치를 하여야 합니다.
개인정보 확인 시 보호조치 미흡
Q Questions
마라톤 대회 홈페이지에서 참가 관련 물품
배송조회를 확인하는 경우 이름만 입력하면
집주소와 휴대전화번호를 볼 수 있습니다.
참여자의 경기 물품 배송 조회 정보를
확인하기 위해서는 별도의 인증절차나 조회
되는 개인정보 일부의 마스킹 처리 등을 통해
A
같이 참가하는 동료의 이름으로 검색하니 타인이 개인정보를 확인할 수 없도록
동명이인의 전화번호와 주소를 확인할 수 있습니다. 하여야 합니다.
Answers
참가자 중 동명이인이 있거나 의도적으로 타인의 성명으로 물품 배송 조회를 한다면 타인의 집주소와
사업자 휴대전화번호를 홈페이지를 통해 조회할 수 있으므로 개인정보 침해의 우려가 발생될 수 있습니다.
! 조치요령
따라서 열람 가능한 정보주체의 개인정보 항목을 조회의 목적을 달성할 수 있을 정도로 일부 마스킹
처리하여 보여 주거나 별도 인증절차(예로, 배송 조회 확인을 위한 비밀번호 설정 등)를 마련하는
것이 바람직할 것입니다.
3 개인정보 파기
호텔 고객 정보 문서 무단 방치
Q Questions
호텔 투숙객 정보가 기재되어 있는 대량의

문서가 박스에 담겨 무단으로 적치되어
개인정보가 포함된 서류는 잠금장치가 있는
안전한 장소에 보관하여야 하고,
개인정보가 불필요하게 되었을 때에는 지체없이
A
있습니다. 문서에는 호텔 투숙객 이름,
복구 또는 재생되지 않는 방법으로
전화번호, 투숙내역 등이 포함되어 있습니다. 파기하여야 합니다.
Answers
제21조 (개인정보의 파기)

① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그
개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다
호텔 투숙객 정보가 담긴 문서는 접근권한이 있는 자만이 접근할 수 있도록 잠금 장치가 있는 안전한

공간이나 장소에 보관하여야 합니다.
사업자
! 조치요령
만약 잠금 장치등의 조치를 하지 않고 무단으로 방치하여 개인정보가 유출되는 경우 형사처벌을 받을
수 있습니다. 그리고 수집·이용 목적 달성 등 개인정보가 불필요하게 된 경우라면 물리적으로
분쇄하거나 소각하여 복원하거나 재생할 수 없도록 조치하여야 합니다.
3 개인정보의 파기
홈페이지 장기 미이용자 개인정보의 이용
Q Questions
SNS소셜 로그인을 통해 몇 년 전에 이용하고
최근 2년 이상 이용하지 않은 온라인
사이트에서 ‘개인정보 이용내역 통지’를
1년의 기간 동안 이용하지 않은 경우 즉시
파기하거나 개인정보를 분리하여 별도로
저장·관리하여야 하고, 법률에 특별한
메일로 보냈습니다.
A
규정이 있는 경우를 제외하고는 해당 개인
1년 이상 서비스를 이용하지 않으면 정보를 이용하여서는 안 됩니다.
개인정보를 파기하여야 하는 거 아닌가요?
Answers
제39조의6(개인정보의 파기에 대한 특례)

① 정보통신서비스 제공자 등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여
대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는
이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
온라인사이트에서 직접 회원가입을 하여 서비스를 이용하는 고객 뿐만 아니라 SNS 소셜로그인*을

사업자
!
하여 서비스를 이용한 경우에도 별도의 미이용기간을 정하지 않았다면 1년 이상 서비스를 이용하지
조치요령 않은 고객의 개인정보는 파기하거나 별도로 저장·관리하여야 합니다. 별도로 저장·관리하는
경우라면 개인정보 이용내역 통지를 위해 개인정보를 이용하여서는 안 됩니다.
4 기타 상담 사례
자기게시물에 대한 접근배제 요청
Q Questions
커뮤니티에 가입해서 활동하다가 게시글이

커뮤니티의 정책에 맞지 않는다고 이용 정지를
회원탈퇴는 언제든지 할 수 있으며,
자기게시물에 대해 접근배제를 요청할 수
A
당했고, 저는 회원탈퇴와 제 개인정보가 포함된
있습니다.
게시글 삭제를 요청하였으나 거절당했습니다.
Answers
인터넷 자기게시물 접근배제요청권 가이드라인(2016.4)
• (이용자) 우선 이용자 본인이 직접 해당 게시물을 삭제할 수 있는지 시도한 후 직접 삭제가 어려운 경우, 사업자에게
자기게시물의 접근배제 요청
요청 시 제출자료 : 접근배제 게시물의 위치자료(URL) 요청인 자신의 게시사실 입증자료, 접근배제 사유
• (사업자) (게시판 관리자) 요청인이 제출한 입증자료를 종합적으로 고려하여 해당 게시물에 대한 블라인드 처리방법으로
지체업이 접근배제 조치 실시
이 사례의 경우 이 가이드라인에 따라 우선 직접 삭제 여부를 확인한 후 직접 삭제가 되지 않는 경우

접근배제게시물의 위치자료(URL), 요청인 자신의 게시사실 입증자료, 접근배제 사유를 포함하여
사업자
! 조치요령
해당 커뮤니티에 자기게시물의 접근배제를 요청할 수 있습니다. 다만 인터넷 자기게시물
접근배제요청권은 가이드라인을 통해 제시되고 있으므로 게시판 운영 사업자가 접근배제 조치를
하지 않는다고 이를 강제할 수 있는 방안은 없습니다.
회원탈퇴 시 과도한 개인정보 요구
Q Questions
가상통화취급업소에 회원가입 후 개인적인
사정이 생겨 회원탈퇴를 하려고 하는데 회원
가입 시에 요구하지 않았던 신분증 사진과
회원탈퇴 방법은 회원가입 방법보다
A
쉽게 하여야 합니다.
신분증을 들고 얼굴이 보이는 사진을
요구합니다.
Answers
제39조의7(이용자의 권리 등에 대한 특례)
① 이용자는 정보통신서비스 제공자 등에 대하여 언제든지 개인정보 수집〮이용〮제공 등의 동의를 철회할 수 있다.
② 정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는
방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
이 사례에서 이용자가 가상통화취급업소 회원가입을 위해 개인정보를 제공했다면 회원에서

탈퇴하는 행위는 개인정보 수집·이용에 대한 동의를 철회한 것으로 볼 수 있습니다.
사업자
! 조치요령
따라서 회원탈퇴 방법은 회원가입 방법보다 쉽게 하여야 합니다. 회원 탈퇴 시 가입 시 요구하지
않았던 신분증 사진과 신분증을 정보주체의 얼굴이 보이는 사진을 요구하는 것은 개인정보
수집·이용에 대한 동의 철회를 위한 과도한 개인정보 수집에 해당될 수 있습니다.
모바일앱에서 회원 탈퇴
Q Questions
게임 모바일앱을 사용하다가 그다지 필요하지

않아 회원탈퇴를 하려고 하는 앱상 어디에도
회원탈퇴 방법은 회원가입 방법보다
A
쉽게 하여야 합니다.
회원탈퇴 기능이 없네요.
Answers
제39조의7(이용자의 권리 등에 대한 특례)
① 이용자는 정보통신서비스 제공자 등에 대하여 언제든지 개인정보 수집〮이용〮제공 등의 동의를 철회할 수 있다.
② 정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는
방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
이용자가 개인정보 수집·이용 동의를 철회한다고 볼 수 있습니다. 따라서 개인정보 수집· 이용

동의의 철회 방법은 개인정보의 수집 방법보다 쉽게 하여야 한다는 것은 다시 말하면 회원 탈퇴
사업자
! 조치요령
방법은 회원가입 방법보다 쉽게 하여야 한다는 것을 의미합니다. 서비스 제공 기기가 PC이든
모바일이든 종류를 불문하고 회원 가입을 하였다면 회원 탈퇴가 쉽게 이루어 질 수 있도록 탈퇴 처리
기능 제공 또는 탈퇴 신청 연락처 공개 등의 조치를 취하여야 합니다.
티켓 불법 예매 확인을 위한 신분증 사본 요구
Q Questions
온라인 티켓 예매 사이트에서 불법 예매가 의심되니
신분증과 아이디, 전화번호, 주소 등의 개인정보를
소명하고 그렇지 않으면 티켓 예매를 취소할 수 밖에
법령상 처리 근거가 없는 한 신분증 사본
제출을 통한 주민등록번호 수집은
A
없다는 문자를 받았습니다. 요구하는 개인정보의 수집
목적을 문의하였으나 알려 줄 수 없다는 답변을 하네요.
허용되지 않습니다
과도한 정보 수집 아닌가요?
Answers
제24조의2(주민등록번호 처리의 제한)

① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를
처리할 수 없다.
티켓 예매를 위한 개인정보 수집과는 별도로 불법 예매 여부 확인을 위해 별도의 개인정보 제출을 요구하는

것으로 보입니다. 온라인 티켓 예매 사이트는 불법 예매 여부 확인을 위해서 필요 최소한의 정보 항목을 정하여
사업자
!
수집·이용 목적, 보유기간 등에 대해 이용자에게 명확하게 알리고 수집하여야 합니다. 그리고 이러한 불법 예매
조치요령 확인을 위한 별도의 개인정보 제출 등의 절차는 이용자가 예측 가능할 수 있도록 미리 이용약관이나
개인정보처리방침 등에 게시하는 것이 바람직합니다. 그리고 주민번호가 포함된 신분증 사본의 수집은 불법
예매 확인을 위한 본인 확인이 필요한 경우 다른 본인확인 대체 수단을 이용하는 것이 바람직합니다.
개인정보처리방침 공개 의무
Q Questions
보험 비교사이트에서 회원 가입을 하려고
개인정보처리방침을 살펴 보았는데 방침이 이상합니다.
개인정보 보유기간 등의 특정 기간, 연락처 등의 숫자가
개인정보처리방침은 알기 쉬운 용어로
구체적이고 명확하게 표현하여
A
표시되어야 하는 부분이 ‘0년’, ‘0개월’ 등으로 표시되어
있습니다. 개인정보처리방침을 제대로 공개했다고 볼 수
공개하여야 합니다.
있나요?
Answers
제30조(개인정보 처리방침의 수립 및 공개)

① 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로
정하는 방법에 따라 공개하여야 한다.
세부내용이 ‘0’으로 표시된 것은 개인정보처리방침상의 세부 항목을 정하지 않은 것과 동일하므로 관련

법률에서 정한 방식대로 개인정보처리방침이 수립되었다고 보기 어렵습니다.
사업자
! 조치요령
따라서 설령 홈페이지에 이러한 개인정보처리방침을 게시하였다고 하더라도 이는 개인정보처리방침
공개 의무를 준수했다고 볼 수 없습니다. 개인정보처리방침은 이용자들이 알기 쉬운 영어로 구체적이고
정확한 기간 등을 공개하여야 합니다.
개인정보취급자의 개인정보 누설
Q Questions
모르는 분이 전화가 와 본인이 제 변경 전 번호를 사용하는데
여러 곳에서 전화가 온다고 저의 변경 전 번호를 현재 번호로
변경해 달라고 요청하였습니다.
개인정보를 처리하는 자는 직무상 알게 된
개인정보를 다른 사람에게 알려줘서는
A
어떻게 제 번호를 알았냐고 묻자 지인이 통신사 대리점에서
근무하는데 그 분에게 연락처를 받았다고 하네요.
안 됩니다.
대리점 직원이 사적인 이유로 정보를 알려줘도 되나요?
Answers
제59조(금지행위)
개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
② 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
이는 사적인 목적으로 업무상 알게 된 개인정보를 다른 사람에게 제공하여 이용하게 하는 것으로

개인정보 누설에 해당될 수 있습니다. 개인정보를 처리하고 있는 자가 개인정보를 누설한 경우에는 5년
사업자
! 조치요령
이하의 징역 또는 5천만원 이하의 벌금에 처할 수 있습니다.
개인정보 처리자 등이 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록
제공하는 행위를 금하도록 교육 등 내부관리계획을 수립합니다.
개인정보 유출시 이용자에 대한 통지 및 신고
Q Questions
기업 개인정보보호 담당자인데 경찰로부터 우리 회사
고객 개인정보가 해킹 당해 조사 중이라는 연락을
받았습니다.
개인정보가 유출되었음을 알게 되었을 때 해당
이용자에게 유출 관련 사실을 알리고, 일정 규모
이상의 개인정보가 유출된 경우라면 관계기관에
A
개인정보가 유출된 경우 업체는 해킹 대상 정보의 신고하여야 하며, 그 피해를 최소화하기 위한
고객에게 어떤 조치를 취해야 하나요? 대책을 마련하고 필요한 조치를 하여야 합니다.
Answers
제39조의 4(개인정보 유출 등의 통지·신고에 대한 특례)

① 제34조제1항 및 제3항에도 불구하고 정보통신서비스 제공자와 그로부터 제17조제1항에 따라 이용자의 개인정보를
제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 개인정보의 분실ㆍ도난ㆍ유출(이하 "유출등"이라 한다) 사실을 안
때에는 지체 없이 다음 각 호의 사항을 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야
하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다.
사업자
!
개인정보의 유출 사실을 안 때에는 24시간 내 이용자에게 통지하고, 유출된 개인정보의 이용자 수를
조치요령 불문하고 개인정보보호위원회 또는 한국인터넷진흥원에 신고하여야 합니다.
Ⅲ
개인정보 유출 신고 현황 및 원인
1 개인정보 유출 신고 현황
2015년 이후 신고 건은 증가 추세, 2018년은 전년 대비 약 4배 증가!
• 2014년 카드 3사 개인정보 유출사고 후 개인정보 유출에 대한 인식 변화로 신고 건수 증가
• 개인정보가 곧 기업의 자산으로 이어지고, ICT 발전 및 스마트 기기 확산으로 개인정보 처리 또한 급증
233건
140건
64건
31건 40건
13건 25건
2012 2013 2014 2015 2016 2017 2018
※ 개인정보보호법 신고기준 1천건 이상/5일내, 정보통신망법 1건 이상/24시간 내

※ 출처 : KISA 연도별 개인정보 유출 신고 현황
2 개인정보 유출 원인
최근 4년(15년~18년) 개인정보 유출의 80%가 해킹 등 외부 공격이 원인
유출 유형별 원인
4)관리자부주의,
1) 웹쉘 업로드, 파라미터 변조, 지능지속형
9.50% 5)기타, 2%
공격, SQL 인젝션 등 해킹
3)내부직원 유출,
1.60% 2) 인트라넷 게시글이 구글 검색엔진에 노출,
2)시스템 오류, 접근통제 등 보안조치 미흡 등
6.90%
3) 퇴사 시 USB로 다운로드, 흥신소를 통한
판매, 지인에게 무단 제공 등
1)외부공격, 80%
4) 이메일 오발송, 처방전 등 개인정보가 담긴
서류 방치 등
5) 관련 로그 등이 없어 원인 확인 불가 등
1)외부공격 2)시스템 오류 3)내부직원 유출 4)관리자부주의 5)기타
※ 개인정보보호법 신고기준 1천건 이상/5일내, 정보통신망법 1건 이상/24시간 내

※ 출처 : KISA 연도별 개인정보 유출 신고 현황
Ⅳ
해킹 유형별 침해 사례 및 대응 방안
1 지능형 지속 공격
지능형 지속 공격(APT)란?
✓ 개인정보 유출 등의 목적으로 특정 기업이나 조직의 웹사이트를 장기간에 걸쳐 지속적으로 공격

✓ 개인정보에 접근권한을 가진 직원 명단을 입수 후 이메일로 악성코드를 첨부한 메일을 보내는 방식의
고전적인 해킹 공격 중 하나
✓ 내부 직원의 PC를 장악 후 그 PC를 통해 내부 서버나 데이타베이스에 접근하여 개인정보, 기밀정보 등을 탈취
개인정보
유출
해커 직원A 파일공유 서버 직원B DB 서버
(DBA)
지능형 지속 공격(APT)에 의한 개인정보 유출 사례 1)
✓ 특정인의 외부 이메일 계정을 탈취 후 메일의 수·발신 내역 분석

- 동생을 사칭하여 화면보호기로 위장한 악성코드가 첨부된 메일 발송
- 직장내부에서 해당 메일 열람 및 화면보호기 실행으로 악성코드 감염
- 감염된 PC를 통해 내부 파일공유 서버에 침입 및 DB 서버 관리자 PC에 악성코드 설치
- 약 2천만 건의 개인정보를 외부로 유출
지능형 지속 공격(APT)에 의한 개인정보 유출 사례 2)
✓ 직원 채용 기간에 맞춰 이력서를 위장한 악성코드를 설치하는 한글 파일을 전송

✓ - 담당자는 아무런 의심없이 한글파일 열람함에 따라 원격 제어형 악성코드에 감염
✓ - 암호화 되지 않은 엑셀 파일로 관리하고 있던 이용자 정보 약 3만 건을 탈취
✓ - 약 200만 건의 사전 대입 공격 → 약 5천 건 성공 → 200개 계정에서 이용자 피해 발생
✓ - 탈취한 이용자 정보를 공개하겠다는 내용으로 비트코인을 요구하는 협박 메일 발송
대응방안
✓ 지능형 지속 공격(스피어피싱)은 이메일로 부터 시작

✓ 외부에서 수신된 메일에 대한 검증(악성코드 유무 등)을 통한 내부 감염 예방
✓ → 외부로 부터 실행파일 유입 차단, 직원의 보안의식 강화, 백신 및 SW 보안 업데이트
✓ 악성코드가 유입되었더라도…
✓ 사내 파일공유 시스템 등이 없다면
✓ → 공용 계정을 사용하지 않고, 권한을 세분화하여 최소한의 정보만 공유
✓ 개인정보처리시스템 접속 정보를 파일(평문)로 관리하지 않기
✓ 개인정보파일을 개별로 관리하지 않기 → PC에 저장해야 된다면…, 반드시 암호화
✓ 업무용 PC는 인터넷망에 연결되지 않도록 보안이 강화된 방식으로 망 분리
✓ 네트워크 트래픽에 대한 주기적인 모니터링 → 이상징후 탐지 및 불필요한 PORT 차단 등
2 중앙관리 시스템 침입
중앙관리 시스템이란?
✓ 내부 PC의 패치 관리, 자산 관리, 보안 관리 등의 다양한 목적을 위하여 사용

✓ 특정 명령어를 통해 일괄적으로 패치 또는 정책을 설정하는 시스템
✓ (관리 서버) PC를 중앙에서 제어하기 위한 시스템으로 시스템 관리자는 관리자 페이지에 접속 하여
PC에 일괄적으로 파일 및 명령어 전송을 수행
✓ (에이전트) 관리 서버에서 송신하는 파일, 명령어를 처리하기 위해 PC내에 설치되는 소프트웨어로써
사내 보안 프로그램 설치, 업데이트, 자산관리 등을 위해 사용
중앙관리서버 Agent
인증우회 SW 취약점
계정 탈취 설정 오류
인증서 유출 인증절차 미흡
중앙관리 시스템 계정 탈취를 통한 개인정보 유출 사례
✓ 외부 인터넷망에서 접속이 가능한 DMZ 영역에 위치한 중앙관리 서버의 PC 자산관리 솔루션의 관리자
계정을 이용하여 접속(관리자 계정 유출 경위 파악 불가)
✓ - 해커는 자신이 이용할 별도의 관리자 계정 생성
✓ - PC 자산관리 솔루션 사용자 관리 메뉴의 일반 배포 기능을 이용하여 업무용 PC 및 서버에
원격제어 악성코드를 유포 → 28대 악성코드 감염
✓ - DB 운영 및 관리업무를 담당하는 개발자 PC에 악성코드 설치
✓ - 윈도우 계정의 비밀번호를 탈취할 수 있는 mimikatz를 이용하여 개발자 PC 비밀번호 등 수집
✓ - 서버접근제어 프로그램을 통해 개발자의 권한 범위 내에 있는 DB서버에 접속하여 개인정보를
외부로 유출
대응방안
✓ 외부 인터넷망에서 접속이 필요한 경우 추가적인 인증 수단 적용

✓ 아이디, 비밀번호 외 인증서, 보안 토큰, 일회용 비밀번호(OTP) 등 추가 인증 수단 적용
✓ 추가 인증 수단을 적용 → 보안성 강화를 위해 VPN, 전용선 등 안전한 접속 수단 적용
✓ 초기 비밀번호 변경 및 비밀번호 복잡도 설정
✓ 공용 계정 삭제 및 최소한의 관리자 계정 사용
✓ 불필요한 서비스, 프로그램 등 삭제
✓ 공유 폴더 차단 및 USB 등의 미디어 자동 실행 차단
✓ 최신 패치 적용을 통한 취약점 제거
✓ 접근 가능한 최소한의 IP 지정 등 접근 통제 및 주기적인 로그 확인 등
3 SQL Injection
SQL Injection 이란?
✓ 데이타베이스와 연동된 웹 어플리케이션에서 SQL 질의문에 대한 필터링이 제대로 이루어지지 않을 경우

공격자가 입력이 가능한 폼(웹 브라우저 주소 입력창 또는 로그인 폼)에 조작된 질의문을 삽입하여 웹
서버의 데이타베이스 정보를 열람 또는 조작할 수 있는 취약점
조작된 Request
조작된 SQL 실행
Response
공격자 웹서버 DB 서버
✓ 파급효과
✓ 데이터베이스 정보 노출
✓ 데이터 삽입, 삭제 및 변경
✓ 데이터베이스 서비스 중지
✓ 사용자 인증 우회 등
3 SQL Injection
SQL Injection에 의한 개인정보 유출 사례
✓ 마케팅 업무 관련 웹사이트의 SQL Injection 공격

✓ DB구조, 테이블 명세, 테이블별 스키마 정보 유출
✓ 서비스 관리자 페이지에 접속하기 위한 정보(인증 세션값, 인증받은 IP주소, 인증시점, 권한에 대한
부가정보)가 저장된 DB테이블 구조 파악 → 관리자 인증 세션값 유출
✓ 관리자페이지는 외부 인터넷망에서 접속 시 아이디, 비밀번호, 휴대폰 인증 적용
✓ 해커는 탈취한 관리자 인증 세션값을 도용하여 휴대폰 인증을 우회 접속
✓ 파일 다운로드 기능을 이용하여 320여만 건의 이용자 정보를 CSV 파일로 유출
3 SQL Injection
대응방안
✓ SQL Injection(보안 취약점)

✓ 사용자 입력값 검증
✓ → 사용자 입력 폼(로그인, 검색, URL 등)을 대상으로 입력된 값에 대해 특수문자, 특수 구문
필터링
✓ 웹 어플리케이션 소스코드 시큐어 코딩 적용
✓ → 저장 프로시저를 사용하여 Query문의 구조가 변경되지 않도록 Query 형식을 미리 지정
✓ 데이타베이스 서버 보안
✓ 최소 권한 유저로 데이타베이스 접속
✓ 사용하지 않는 저장 프로시저 및 내장함수 제거 또는 권한 제어
✓ 목적에 따라 Query 권한 수정
✓ 공용 시스템 객체의 접근 제어
✓ 신뢰할 수 있는 네트워크, 서버에서만 접근 허용
✓ 에러 메시지 노출 차단
4 세션 ID 탈취
세션 ID 개요
✓ 정의
✓ - 웹 통신 환경에서 사용자와 서버 간의 통신을 위한 논리적 연결로,
✓ - 사이트 접속 또는 로그인 시 사용자만의 고유 세션값이 할당되어 사용자 인증 및 구분
✓ - 세션 ID를 이용한 인증방식을 사용하는 경우, 세션 ID 유출 시 공격자가 사용자 권한 획득
JSESSIONID=F09101010101220
사용자
웹서버
동일한
세션 허용
JSESSIONID=F09101010101220
공격자
4 세션 ID 탈취
관리자 인증 세션 ID 탈취에 의한 개인정보 유출 사례
✓ 외부 인터넷망에서 접속이 가능한 관리자 페이지에 접속하여 사용 중인 세션 ID 탈취

✓ 관리자 페이지의 세션 타임아웃을 60분으로 설정
✓ 해커가 탈취한 세션 ID는 고객의 요청을 실시간으로 파악하기 위해 1분 단위로 자동 로딩
✓ → 세션 종료가 이루어지지 않음
✓ 해커는 초당 35회 아이디, 이름 등을 조회*하는 방법으로 개인정보를 외부로 유출
✓ * 웹페이지 요청 시 파라미터 값을 변경하여 개인정보를 조회
4 세션 ID 탈취
대응방안

✓ 로그인 한 사용자들의 정보를 저장하는 별도의 변수를 지정
✓ 로그인 시 사용자의 아이디와 세션 값을 저장하여 향후 발생하는 세션 요청에 대해
✓ 저장소의 값과 비교
✓ → 저장소에 존재하는 사용자라면 중복 로그인으로 판단 → 로그인이 불가능하도록 관리
✓ 로그인 페이지 이외에는 사용자 IP 주소 및 토큰 값을 별도로 저장하여 추후에 발생되는 요청에 대한
검증
✓ 세션 타임아웃 설정을 통해 일정 시간(10~30분 이내) 사용이 없는 경우 자동 로그아웃
5 파라미터 변조
파라미터(매개변수)
✓ 웹페이지 상의 브라우저와 웹서버 사이에서 주고받는 요청 값에 대한 검증 누락으로 SQL 인젝션,

불충분한 인증 및 인가, 크로스 사이트 스크립트(XSS) 공격에 활용
✓ 관리자 권한 획득 웹서버
✓ 인증 우회
Request 시 파라미터 변수 조작
✓ 홈페이지 장악 등
검증 누락으로 인한 요청 허가
공격자
파라미터(매개변수) 변조에 의한 개인정보 유출 사례
✓ 고객 서비스 계약번호를 이용한 개인정보 유출

✓ 이용자가 로그인 하여 이용내역 등을 조회할 경우 계약번호를 이용하며,
✓ 접속한 이용자와 계약번호에 대해 일치 여부 인증이 없다는 것을 파악
✓ 계약번호 변경하는 스크립트를 이용하여 이용내역서를 자동으로 다운로드 하여 개인정보 유출
5 파라미터 변조
대응방안
✓ 개인정보 접근을 위한 파라미터 변조

✓ 이용자의 개인정보에 대한 요청 시 이용자가 요청한 정보에 대한 정당한 권한을 가지고 있는지 검증
✓ 동일한 IP 주소에서 다수의 요청이 있는 경우 침입탐지·침입차단 시스템에서 검증
✓ 권한 상승을 위한 파라미터 변조
✓ 사용자가 변경할 수 있는 데이터의 노출을 최소화하는 것이 필요하며,
✓ 서버로 전송된 사용자 입력 값의 경우 세션 및 데이터베이스와 비교를 하여 데이터가 변조되었는지
검증
6 사전 대입 공격
사전 대입 공격
✓ 확보한 아이디, 비밀번호를 이용하여 자동화 툴 및 Bot을 활용하여 로그인을 시도

✓ 접근시도 횟수 제한을 설정하지 않을 경우 수백 번의 접근 시도 가능
✓ 해당 웹사이트가 아닌 다른 웹사이트에서 유출된 정보이더라도,
✓ 이용자가 아이디와 비밀번호를 동일하게 이용하는 경우 인증에 성공할 수 있음
사전 대입 공격에 의한 개인정보 유출 사례
✓ 상당수의 아이디, 비밀번호가 인증에 성공

✓ 인증에 성공한 계정 파일과 동영상 파일, 보도자료 등을 제기하고 금전을 요구
✓ → 해당 사업자는 이에 응하지 않음
✓ 해커는 동일한 아이디, 비밀번호를 이용하여 가상통화 거래 사이트에 부정 접속 시도
✓ → 접속에 성공한 일부 이용자들이 저장한 신분증, 신용카드 사진 등을 추가로 확보
✓ → 가상통화 거래 사이트에서 이용자의 비트코인을 절취하여 2차 피해 발생
6 사전 대입 공격
대응방안
✓ 웹 방화벽에서의 대응
✓ 특정 시간 내 특정 IP에서 동일한 웹 요청이 반복되지 않도록 시간 제한 설정
✓ 자동화 공격에 의한 시스템 과부하를 방지하기 위해 다량의 패킷 유입 시 접속 차단 권장
✓ 웹 어플리케이션 소스 코드 시큐어 코딩 적용
✓ 동일한 아이디로 로그인 시도 시 로그인 시도 횟수를 저장하여 횟수를 증가시키고,
✓ 일정 횟수 이상이 되면 자동화 공격으로 인식하여 로그인을 할 수 없도록 차단
✓ → CAPCHA나 시간 지연 등 사업자 환경에 맞는 정책 적용
7 웹쉘 업로드
웹쉘(Web Shell)
✓ 원격에서 웹서버에 명령을 수행할 수 있도록 작성한 스크립트(asp, php, jsp, cgi…)
✓ 웹서버에 명령을 실행해 관리자 권한을 획득
✓ 웹 소스코드 수정, 서버내 자료의 유출, 백도어 프로그램의 설치 등 다양한 공격
✓ 웹쉘의 업로드 경로
✓ 웹사이트 게시판의 파일 업로드 취약점
✓ 웹에디터의 이미지 업로드 취약점
✓ HTTP 1.1 취약점(PUT)
✓ SQL Injection, XSS 등
웹서버
필터링 미흡
웹쉘 Upload
웹쉘 실행
공격자
7 웹쉘 업로드
웹쉘(Web Shell) 업로드에 의한 개인정보 유출 사례
✓ 스마트에디터의 파일 업로드 취약점을 이용

✓ ’16.7.19. 스마트에디터의 파일 취약점에 대한 보안 업데이트 공지
✓ → 스마트에디터 홈페이지, KISA 보호나라에 관련 내용 공지
✓ 사업자는 ’16.11.경 보안 업데이트 실시
✓ 최초 웹쉘의 업로드 시점은 ’16.8.28.
✓ 해커는 ’17.10.부터 웹쉘 파일에 접근하여 ’17.11. 계정 탈취 목적으로 파일 변조
✓ → 이용자가 아이디, 비밀번호를 입력 → 중계 서버로 전달 → 계정 탈취
대응방안
✓ 웹 방화벽에서 파일 업로드 필드를 대상으로 특수문자(%, ;, .. 등) 필터링 적용

✓ 파일 업로드 시 확장자 제한
✓ → 이미지 파일 업로드를 허용할 경우 “PNG”, “JPG”, “GIF” 등 허용
✓ 파일 업로드 시 기존 파일명을 변경하여 공격자로 하여금 파일의 경로를 추적할 수 있도록 조치
8 모의해킹, 취약점 진단
지역정보보호센터 지원 요청
서비스 구분 서비스 항목 주요내용
웹 취약점 점검 조치 홈페이지에 대한 취약점 점검 및 보호조치 지원
취약점 점검 결과 안내, 기술적/관리적/물리적 보호조치

정보보호 현장컨설팅
지원 등 맞춤형 One-Stop 정보보호 기술지원
보안 서비스
지원
기업이 보유 관리하고 있는 고객정보 등 민감정보에 대한
민감 정보보호 조치
관리 및 조치방안, 개인정보보호법규 준수여부 안내
중소기업 재직자, 학생 등을 대상으로 정보보호 전문교육

전문교육 및 세미나
(모의해킹, 포렌식 등) 및 세미나 개최
9 참고자료
정보보호 시스템 관리
✓ 홈페이지 취약점 진단·제거 가이드

✓ 웹서버 구축 보안 점검 안내서
✓ 웹어플리케이션 보안 안내서
✓ 홈페이지 개발 보안 안내서
개인정보보호 관련 참고자료
✓ 홈페이지 개인정보 노출 방지 안내서

✓ 개인정보 암호화 조치 안내서
✓ 개인정보의 기술적·관리적 보호조치 기준 해설서
✓ 시스템 개발·운영자를 위한 개인정보보호 가이드라인
한국인터넷진흥원 홈페이지 → 자료실 →기술안내서 가이드

https://www.kisa.or.kr/public/laws/laws3.jsp
질의응답 Q&A
Privacy by Trust,
Trust by Privacy.
감사합니다.

특화2. (KISA) 2020 정보통신서비스 제공 사업자 대상 개인정보보호 특화 교육 - 중소 사업자

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

특화2. (KISA) 2020 정보통신서비스 제공 사업자 대상 개인정보보호 특화 교육 - 중소 사업자

Uploaded by

Copyright:

Available Formats

PERSONAL INFORMATION PROTECTION GUIDELINE

II 개인정보 신고 사례로 알아보는 대응방안

✓ 개인 및 공공기관, 사업자의 개인정보 관련 침해 신고 및 상담의 처리를 위하여 법령에 따라 운영

✓ 개인정보보호법 또는 정보통신망법에서 규정하고 있는 개인정보에 관한 권리 또는 이익을 침해받은 사람 및 그 대리인

인터넷 http://privacy.kisa.or.kr(개인정보침해 신고센터)

우편 (58324) 전라남도 나주시 진흥길9 개인정보침해 신고센터

개인정보침해 신고센터 업무처리 절차도

✓ 2019년 개인정보침해 신고·상담 건수 총 159,255건

✓ 주민등록번호 등 타인 정보의 훼손·침해·도용이 약 84% 이고, 신용정보 관련 문의 등

구분 2012년 2013년 2014년 2015년 2016년 2017년 2018년 2019년

신고 2,058 2,347 2,992 2,316 1,559 1,249 1,325 1,041

상담 164,743 175,389 155,908 149,835 96,651 103,873 163,172 158,214

계 166,801 177,736 158,900 152,151 98,210 105,122 164,497 159,255

2019년 개인정보 침해 신고·상담 접수 유형을 살펴보면 주민등록번호 등

타인 정보의 훼손·침해·도용이 134,000여건(약 84%)이고, 신용정보 관련 문의 등 정보통신망법 적용 대상 외 관련

8,700여건(약 5.5%)으로 두 유형이 전체 89.5%를 차지하며 2018년과 마찬가지로 가장 큰 비중을 차지

SNS를 통한 이벤트 시 개인정보 수집

제39조의3 (개인정보의 수집〮이용 동의 등에 대한 특례)

온라인쇼핑사이트 등 정보통신서비스제공자가 서비스 제공을 위해 이용자의 개인정보를

개인정보 수집·이용·제공 및 처리 위탁의 동의

온라인 사이트에서 경품이벤트를 하는데

제39조의3 (개인정보의 수집〮이용 동의 등에 대한 특례)

온라인 사이트를 운영하는 정보통신서비스 제공자는 경품 이벤트를 위해 개인정보를 수집하는 경우

결혼사진스튜디오에서 사진이 잘 나와서

제39조의3 (개인정보의 수집〮이용 동의 등에 대한 특례)

결혼사진스튜디오는 고객의 결혼사진을 홍보 목적으로 이용하고자 한다면 고객에게 구체적인 홍보

공개된 개인정보를 이용하여 홍보 문자 발송

구직사이트에 게시된 휴대전화번호를 이용하여

제39조의3 (개인정보의 수집〮이용 동의 등에 대한 특례)

이 사례의 경우 통상적으로 구직사이트 이용자가 인터넷 사이트에 자신의 개인정보를

아동의 개인정보를 이용한 법정대리인 개인정보 수집·이용

제39조의3 (개인정보의 수집〮이용 동의 등에 대한 특례)

정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를

홈페이지 관리자 페이지 노출

반려견 등록사이트 관리자 페이지가 아무런

이 사례의 경우에는 반려견 등록을 위해 반려견 소유자의 개인정보를 수집하는

증명서를 발급할 수 있는 홈페이지에서 타인의 증명서가 보이는 것은 홈페이지 설계 및

○○공사가 대국민 서비스 홍보를 위해

이러한 개인정보 유출을 예방하기 위해서는 다수인에게 전자우편을 발송하는 경우

호텔 투숙객 정보가 기재되어 있는 대량의

제21조 (개인정보의 파기)

호텔 투숙객 정보가 담긴 문서는 접근권한이 있는 자만이 접근할 수 있도록 잠금 장치가 있는 안전한

홈페이지 장기 미이용자 개인정보의 이용

제39조의6(개인정보의 파기에 대한 특례)

온라인사이트에서 직접 회원가입을 하여 서비스를 이용하는 고객 뿐만 아니라 SNS 소셜로그인*을

커뮤니티에 가입해서 활동하다가 게시글이

인터넷 자기게시물 접근배제요청권 가이드라인(2016.4)

이 사례의 경우 이 가이드라인에 따라 우선 직접 삭제 여부를 확인한 후 직접 삭제가 되지 않는 경우

회원탈퇴 시 과도한 개인정보 요구

이 사례에서 이용자가 가상통화취급업소 회원가입을 위해 개인정보를 제공했다면 회원에서

게임 모바일앱을 사용하다가 그다지 필요하지

이용자가 개인정보 수집·이용 동의를 철회한다고 볼 수 있습니다. 따라서 개인정보 수집· 이용

제24조의2(주민등록번호 처리의 제한)

티켓 예매를 위한 개인정보 수집과는 별도로 불법 예매 여부 확인을 위해 별도의 개인정보 제출을 요구하는

제30조(개인정보 처리방침의 수립 및 공개)

세부내용이 ‘0’으로 표시된 것은 개인정보처리방침상의 세부 항목을 정하지 않은 것과 동일하므로 관련

이는 사적인 목적으로 업무상 알게 된 개인정보를 다른 사람에게 제공하여 이용하게 하는 것으로

개인정보 유출시 이용자에 대한 통지 및 신고

제39조의 4(개인정보 유출 등의 통지·신고에 대한 특례)

2015년 이후 신고 건은 증가 추세, 2018년은 전년 대비 약 4배 증가!

• 2014년 카드 3사 개인정보 유출사고 후 개인정보 유출에 대한 인식 변화로 신고 건수 증가

• 개인정보가 곧 기업의 자산으로 이어지고, ICT 발전 및 스마트 기기 확산으로 개인정보 처리 또한 급증

2012 2013 2014 2015 2016 2017 2018