20.10.12 ( 개인정보보호 연차보고서 - 국가보훈처·인사혁신처·법제처·식약처, 내정보를 유출한 기업에 과징금 258원?, 파이브 아이즈 암호화 기술에 대한 백도어 요구 )

1. 개보위의 개인정보보호 연차보고서 - 국가보훈처·인사혁신처

---

(1) 국가보훈처

 

가. 개인정보보호 정책·제도 개선

 

국가보훈처는 국가보훈대상자의 예우 및 지원 보훈 정책을 추진하는 과정에서 개인정보보호를 위해 계속해서 규정과 정책을 개선해 나가고 있으며, 내부관리계획을 수립·시행하고 있습니다. 내부관리계획을 개정하여 개인정보처리시스템의 이행실태를 월 1회 점검하고 있으며, 개인정보의 수집을 최소화하기 위해 사업부서에서 사용 중인 개인정보 수집·제공 동의서 서식은 꼭 필요한 최소한의 개인정보만 수집하는지 검토하고 명확한 동의절차를 이행하여 재정비했습니다. 또한, 침해사고 대응절차 및 권리구제 절차, 개인정보 목적 외 이용·제3자 제공 절차서 개정 등 개인정보보호를 위한 관리적 제도 개선 활동을 수행했습니다.

 

나. 개인정보보호 관리체계 및 개인정보처리시스템 운영체계 강화

 

국가보훈처는 자체 사전 점검표를 활용하여 본부·소속기관·산하기관에 대해 총 3회 개인정보보호 관리실태 지도점검을 실시했습니다. 자체 내부관리계획과 개정사항 반영 여부, 개인정보의 기술적 보호 조치 준수, 개인정보파일의 관리절차 및 수집·활용의 적합성 여부를 검토했으며, 우수 사항 및 미흡 사항을 선정하고 관련 사항에 대한 담당자 교육을 실시해 각 기관의 실제 개인정보보호 업무 활동과 연계되도록 했습니다.

 

또한, 제대군인 전직지원시스템 개선 사업 추진 과정에서 개인정보 영향평가를 실시하여 개인정보보호 관리체계를 점검 및 개선하였으며, 안전성 확보를 강화하기 위해 포상심사관리시스템에 개인정보 접속기록관리솔루션을 설치하여 기술적 보호 수준을 제고했습니다. 아울러 통합보훈정보시스템의 고도화 사업을 통해 안전한 개인정보처리시스템 운영 기반을 갖추었습니다.

 

(2) 인사혁신처

 

가. 상시적 개인정보처리시스템 취약점 진단 체계 마련

 

인사혁신처는 운영 중인 32개 전체 시스템에 대해 체크리스트 기반의 연중 상시 취약점 진단 및 모의 침투훈련을 실시했습니다. 진단 대상은 인터넷망을 통해 서비스되는 18개 시스템과 14개 내부 업무시스템으로 총 132개의 취약점을 찾아 조치하는 등 적극적인 예방 활동을 통해 개인정보처리시스템 취약점을 악용한 정보 침해사고를 철저히 예방하고 있습니다.

 

나. 산하기관 개인정보보호 수준 제고를 위한 상호 협력 강화

 

2019년 1월부터 5월까지 소속기관과 산하기관을 방문해 개인정보보호 조치 강화를 위한 컨설팅을 실시했습니다. 아울러 5월에는 정형 개인정보에 비해 보호가 취약한 비정형 개인정보처리자인 영상정보처리기기 운영자를 대상으로 개인정보보호 컨설팅을 실시해 담당자의 전문성 향상을 위해 노력했습니다.

 

(3) 법제처

 

가. 동의권 행사를 위한 정책 개발

 

법제처는 '개인정보파일 정비 계획에' 따라 업무별 최소한의 개인정보 수집·이용·제공 및 정보제공 동의 내용에 대해 정보주체가 명확히 확인할 수 있도록 동의절차 이행사항을 점검하고 현행화를 통해 개인정보 주체의 자발적인 동의권 행사 기반 마련과 권리 보장을 위해 노력했습니다. 또한, 내부관리계획, 침해사고 대응 절차 등을 개정 및 보완하여 내부 개인정보보호담당자 등에게 배포하고 그 이행 여부를 지속적으로 점검했으며, 개인정보의 안전한 관리를 위한 기반을 조성했습니다.

 

나. 기술 지원체계 강화·

 

기관 내 구축·운영 중인 개인정보처리시스템에 대한 정기적인 점검과 개선 조치, 상시 모니터링을 통해 개인정보처리시스템의 안전한 이용 및 관리를 위해 노력했습니다. 법제처 내 전체 업무용 컴퓨터, 보조저장매체 등에 대한 보안점검 및 보호 조치를 통해 개인정보보호 실태를 정기 점검하고 기관 보안솔루션의 정책 적용으로 침해사고 방지 체계를 구축하여 개인정보 유·노출 방지 기능을 강화했습니다.

 

다. 개인정보보호 관리자, 담당자, 취급자의 역량 강화

 

법제처는 매년 개인정보보호 인식 제고를 위한 교육 계획을 수립하고 있습니다. CPO가 워크숍에 참석하여 교육을 이수하고, 개인정보 담당자가 전문 교육에 참석하는 등 개인정보보호 담당인력의 전문역량 강화를 위해 노력하고 있습니다. 또한, 전문교육 및 온라인 교육의 필수 이수와 개인정보의 위탁 관리·운영을 위해 위탁사업자의 교육을 수행했습니다. 그리고 전 직원 대상 자체 정기 특강을 통해 안전한 개인정보보호를 위한 홍보 및 교육을 실시했습니다.

 

(4) 식약처

 

가. 개인정보보호 정책 및 제도 개선

 

식약처는 최신 법령 및 행정안전부 고시에 맞춰 개인정보보호 내부규정을 2019년 2월 개정했습니다. 그리고 운영상 나타난 미비점을 개선·보완하기 위해 개인정보 처리방침, 개인정보처리시스템 재해·재난 위기대응 메뉴얼, 개인정보처리시스템 접근권한 관리방안을 개정하고 사이버 침해 대응체계 점검 및 모의 대응훈련을 실시했습니다.

 

나. 개인정보보호시스템 운영체계 강화

 

식약처는 내부관리계획에 따라 개인정보의 기술적·관리적 안전조치 이행실태를 점검하고 고유식별정보 처리 시 암호화하도록 조치했습니다. 또한, 개인정보보호시스템의 접근권한 관리 및 해당 기록의 3년 이상 보관 여부와 접속기록 6개월 보관·관리 여부를 점검하고 수행 업무 기록 및 접근권한 부여기록 등을 보완하였습니다, 정보파일 일제정비를 실시하여 보유하고 있는 개인정보파일에 대한 지속 운용 필요성·등록항목의 적정성 등을 검토하고 행안부 '개인정보보호 종합지원시스템'에 신규 파일을 등록했으며, 변경 사항은 현행화를 실시했습니다. 또한, 불필요한 개인정보파일을 삭제 및 암호화 등 보안 조치를 실시했으며, 정보주체의 권리 보장을 위해 개인정보파일에 대한 개인정보 수집 및 이용에 따른 동의절차의 적정성 여부를 점검했습니다. 현재 소관 업무 수행을 위해 필요한 최소한의 개인정보를 수집·이용하고 있으며, 개인정보 수집·이용 시 정보주체의 동의절차를 준수하고 있음을 확인할 수 있습니다.

 

식약처는 '식의약품안전 사이버안전센터'를 운영하여 본부, 소속기관, 6개 유관기관에 대해 모니터링을 하고 있습니다. 대국민 웹사이트의 개인정보 노출 진단을 실시하고 개인정보 필터링 솔루션을 상시 운영하고 있으며, 개인정보 침해 예방 활동을 강화하고 있습니다.

---

 

 

 

2. 내 정보 유출한 기업, 과징금 258원?

 

최근 5년간 유출된 우리나라 개인정보가 공공·민간·온라인 부문에서 6,414만 건에 달했으며, 이에 대한 솜방망이 처벌이 이뤄졌다는 분석이 나왔다고 합니다.😐

 

이 중 행정처분이 확정된 253회, 5,087만건에 대해 약 131억원의 과징금이 부과되었다고 합니다. 이것은 건당 평균 과징금이 258원 정도의 수준이라고 하네요😶

개인정보 유출 현황

그리고 건당 평균 과징금이 100원 미만인 경우도 25건 존재 했으며, 전체 개인정보 유출 건수의 21%를 차지하는데 반해 부과된 과징금은 3억 3,510만원이라고 합니다.

 

놀라운 것은 개인정보 2,269,000건이 유출된 것에 대해 건당 편균 과징금이 5.7원만 부과된 사례도 있다고 합니다.

 

개인정보 유출 사고는 지난 2017년부터 증가하고 있으며 2017년에 비해 2019년도에는 3배 이상 증가했다고 합니다. 또한 올해는 지난달까지 994만건의 개인정보가 유출되었다고 합니다.😥

 

실제 우리나라 개인정보보호법 상 과징금은 위반 행위와 관련 매출액의 3%에 불과한 점을 보면서 전문가들이 솜방망이 처분이며 개인정보 유출이 지속되는 주요 원인이라고도 지적했다고 합니다.😀

 

특히, 유럽은 GDPR을 통해 심각한 법 위반 시 전세계 연간 매출액의 4%에 해당하는 과징금을 부과하고 있으며, 이에 따라 영국은 약 50만명의 개인정보를 유출한 영국항공에 과징금 2,744억원을 부과한 사례가 있다고 합니다.😁

 

 

 

3. 파이브 아이즈, 암호화 기술에 대한 백도어 요구

 

파이브 아이즈(Five Eyes)라고 불리는 동맹 국가인 미국, 영국, 호주, 캐나다, 뉴질랜드가 "암호화 된 메신저 앱이 테러리스트들과 아동 납치범들의 활동을 돕는다"는 내용의 성명문을 발표했으며, 이에 일본과 인도도 합세했다고 합니다.😀

 

왓츠앱, 시그널, 페이스북 메신저 등 여러 앱이 지적되었으며, 이는 메시지의 발신자와 수신자 외에는 그 누구도 메시지를 볼 수 없는 방식으로 운영된다고 합니다. 또한 개발사 자신들 조차도 내용을 볼 수 없기 때문에 사법 기관에서 수사를 목적으로 정보를 요청해도 제공할 수가 없다고 합니다.🙄

 

이 국가들은 "사용자들의 프라이버시를 보호하는 게 중요한 일이며, 그것을 위해 암호화 기술을 활용하고 있다는 것을 충분히 이해하고 있다. 프라이버시가 중요한만큼 공공의 안전도 중요한 일이며, 그 균형성을 유지하는데 힘을 써야함도 잊지 말아야 한다. 페이스북과 같은 주요 개발사가 긴급 상황을 위한 백도어를 갖추어야 한다"라고 얘기했다고 합니다.

 

세계 곳곳의 정부 기관 및 수사 기관들은 암호화 기술에 백도어를 지속적으로 요청해 왔지만 이는 프라이버시 침해라며 계속해서 저항해왔다고 합니다. 이와 같은 문제로 FBI와 애플이 법정에서 부딪혔는데, FBI가 최종 판결 전에 아이폰 해킹에 성공함으로써 사건이 종결된 사례가 있다고 합니다.😁

 

최근 유럽연합 또한 암호화 기술에 대한 백도어가 필요하다는 사실을 피력하기 시작했으며, 전자프런티어재단(EFF)이 입수한 문건에 의하면 유럽연합 지도부에서 "암호화 기술을 둘러 싼 공론의 장에 적극 개입하여 프라이버시 쪽으로 쏠려 있는 여론의 균형을 맞추라"는 메모가 돌아다닌다고 합니다.😀

 

특히, 텔레그램 같은 경우는 현재 다크웹을 대체할 정도로 범죄자들의 인기 높은 통신 수단이 되고 있으며, 다른 암호화 앱들도 범죄자들의 소굴로 변모하는 중이라고 합니다.💢

 

이번 파이브 아이즈와 일본, 인도의 백도어 촉구 성명은 법적 효력이 존재하지 않으며, IT기업은 늘 그랬듯 이를 간단히 무시할 가능성이 높을 것이라고 합니다. 하지만 이들이 완전히 보안을 무시하는 것은 아니며, 각기 다른 방법으로 방어책을 마련하고 있다고 하네요.😀

 

 

 

 

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91694&page=1&mkind=1&kind=2

[개인정보보호 연차보고서 톺아보기-14] 국가보훈처·인사혁신처·법제처·식약처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29592&key=&dir_group_dist=&dir_code=&searchDate=

내 정보 유출한 기업, 과징금 258원 냈다

www.boannews.com/media/view.asp?idx=91697&page=1&mkind=1&kind=

파이브 아이즈와 일본·인도, 암호화 기술에 대한 백도어 요구