20.09.08 ( 개인정보보호 연차보고서 - 행정처분 사례, 금보원의 '비식별 처리 프레임워크' 국제표준 채택, 소만사의 새로운 컨설팅 서비스 개시)

1. 개보위 개인정보보호 연차보고서 - 개인정보보호 관련법 위반 행정처분 사례

---

행정안전부

(1) 개인정보 수집 및 이용 등 관련법 위반

- 국내 진출 글로벌기업 20개 업체 대상

- '개인정보보호법' 제15조 개인정보 수집 및 이용, 제29조 안전조치 의무 등 위반

- 18개 업체에 개선권고 1건, 과태료 28건 총 1억 5,700만원

 

(2) 고유식별정보 처리 제한 등 관련법 위반

- 대학, 학점인정기관, 학원 등 교육 분야 20개 기관 대상

- '개인정보보호법' 제24조 고유식별정보의 처리 제한, 제29조 안전조치 의무 등 위반

- 14개 기관에 개선권고 3건, 과태료 18건 총 9,900만원

 

(3) 주민등록번호 처리 제한 등 관련법 위반

- 2018년 12월 행정처분 결과 이행 여부, 고유식별정보 조사 및 서면 점검 자료 미제출 기관 등 12개 기관 대상

- '개인정보보호법' 제24조의 2 주민등록번호 처리의 제한, 제29조 안전조치 의무 등 위반

- 11개 기관에 개선권고 4건, 과태료 15건 총 6,500만원

 

(4) 안전조치 의무 등 관련법 위반

- 공공분야 7개 기관 대상

- '개인정보보호법' 제24조의 2 주민등록번호 처리의 제한, 제29조 안전조치 의무 등을 위반

- 5개 기관에 과태료 5건 총 3,300만원

 

(5) 민감정보 처리제한 등 관련법 위반

- 입시 분야 12개 기관 대상

- '개인정보보호법' 제23조 민감정보의 처리 제한, 제29조 안전조치 의무 등 위반

- 6개 기관에 시정명령 2건과 과태료 5건 총 2,600만원

 

(6) 개인정보 파기 등 관련법 위반

- 2019년 4~6월 개인정보 노출 협·단체, 고유식별정보 안전성 확보 조치 미흡 기관 등 27개 기관

- '개인정보보호법' 제21조 개인정보의 파기, 제29조 안전조치 의무 등 위반

- 9개 기관에 개선권고 4건과 과태료 5건 총 3,000만원

 

(7) 안전조치의무 등 관련법 위반

- 2019년 6~7월 공공기관 개인정보보호 관리수준 진단 결과에서 미흡 등급을 받은 10개 기관

- '개인정보보호법' 제26조 업무 위탁에 따른 개인정보의 처리 제한, 제29조 안전조치 의무 등 위반

- 4개 기관에 개선권고 1건과 과태료 3건 총 1,800만원

 

방송통신위원회

(1) 가상통화 취급업소 및 생활밀접형 O2O 사업자 법규 위반

- 개인정보 침해가 우려되는 가상통화 취급업소 및 생활 밀접형 O2O(Online to Offline) 사업자 대상

- '정보통신망법'상 개인정보보호 관련 규정 위반

- 10개사에 시정명령과 과태료 총 7,100만원

 

(2) 개인정보 및 위치정보보호 법규 위반

- 정보통신망법 및 위치정보법 위반행위가 있는 사업자 2개사 대상

- '정보통신망법' 제25조 및 '위치정보법' 제18조 등 위반

- 2개사에 시정명령과 과태료 2,840만원, 과징금 2,380만원

 

(3) 해외사업자의 개인정보보호 법규 위반

- 언론 및 민원신고 등을 통한 서비스를 통해 개인정보를 불법 수집하는 해외사업자 대상

- '정보통신망법' 제22조 및 제30조 위반

- 시정명령과 과태료 1,000만원, 가징금 90만원

 

(4) 정보통신서비스 제공 솔루션을 사용하는 서비스사의 법규 위반

- 개인정보 유출 사실을 신고한 정보통신서비스 제공사업자 대상

- '정보통신망법' 개인정보 유출 사실을 정당한 사유 없이 24시간 지나 신고 및 개인정보에 대한 보안 조치 미흡

- 78개사에 시정명령과 과태료 총 11억 2,200만원

- 14개사에 과징금 총 4억 730만원

 

(5) 통신사 영업점 등 법규 위반

- 개인정보 유출 및 민원이 접수된 정보통신서비스 제공자 등 대상

- '정보통신망법' 개인정보처리시스템 침입차단 및 탐지시스템 설치 및 운영 소홀, 유출신고 등 지연 위반

- 11개사 시정명령 이중 10개사에 과태료 총 1억 4,600만원, 1개사에 과징금 18억 5,200만원

---

 

2. 금보원, '비식별 처리 프레임워크' 국제표준 채택

 

이번에 금융보안원(금보원)에서 순천향대, KISA와 함께 '비식별 처리 프레임워크'를 마련하였으며 국제정보통신표준화기구(ITU-T)에서 국제 표준으로 채택됬다고 합니다!

데이터 생명주기에 따른 비식별 처리 지점, 출처 : 안랩

프레임워크는 개인정보를 비식별화하여 식별할 수 없도록 데이터 수집, 저장, 이용, 배포 및 파기 등 생명주기에 따라 비식별 처리지점과 고려사항을 정의하였으며 절차별로 수행해야할 사항과 판단 기준도 제시되어있다고 합니다 :D

 

 

3. 소만사 '재택근무 개인정보유출위험 종합진단' 컨설팅 서비스 개시

 

코로나 재확산으로 인해 많은 기업에서 다시 재택근무를 시행되기 시작했습니다. 하지만 재택근무에는 늘 보안 문제가 대두되고 있죠 :D

 

재택근무 방식은 크게 VDI(Virtual Desktop Infrastructure), VPN(Virtual Private Network)로 나뉘어지는데 각각 개인정보 유출위협과 대응수준이 달라집니다!

 

VDI는 원격으로 가상 데스크톱에 접속해서 업무를 하는 방식인데, 파일이 재택 PC로 내려오지 않아 유출위험으로부터 상대적으로 안전합니다. 하지만 비싸고 디자인, 설계작업, 개발작업은 VDI로 100% 전환하기 부적절하죠! 그렇기 때문에 '원격터미널 서비스'를 통해 접속해야하며 이에 대한 통제 대책도 필요하게 됩니다.

 

VPN은 가상 사설망을 통해 회사 인트라넷에 접속하는 방식으로 회사 인트라넷의 파일을 재택 PC에 다운로드 및 업로드가 가능합니다.

 

어떤 환경을 사용하던 재택 PC에 엔드포인트 보안 솔루션을 설치해 더욱더 강화된 보안정책을 수립해야하며 회사 내부로 유입되는 파일은 악성코드 검사를 필수적으로 진행해야 합니다. 또한 반출되는 파일은 민감한 정보를 가지고 있는지 확인해야 합니다. 하지만 코로나로 인해 갑작스럽게 재택근무로 돌입해야 했고 인력난과 예산 부족으로 인해 많은 곳에서 보안상 문제가 있을거라고 합니다 : (

 

그래서 소만사는 '재택근무 개인정보유출위험 종합진단' 컨설팅 서비스를 개시한다고 합니다! 재택근무로 보안 상 위협을 받는 만큼 더욱더 신경써서 보안에 기해야하며 지금 현 상황에 이러한 서비스는 좋다고 생각이 드네요 :D

 

 

 

 

 

 

출처

https://www.boannews.com/media/view.asp?idx=90986&page=1&mkind=1&kind=

[개인정보보호 연차보고서 톺아보기-3] 개인정보보호 관련법 위반 행정처분 사례

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29517&key=&dir_group_dist=&dir_code=&searchDate=

금보원, '비식별 처리 프레임워크' 국제표준 채택

https://www.dailysecu.com/news/articleView.html?idxno=113357

소만사 '재택근무 개인정보유출위험 종합진단' 컨설팅 서비스 개시 - 데일리시큐