개인정보보호의 이해및안전한관리 - 개인정보의의의및처리실태 - 2012. 11. 21 최윤형 ( 한국정보화진흥원 )
1 정보사회와개인정보 2 개인정보보호의필요성 목 차 3 개인정보의주요침해사례
1. 정보사회와개인정보
정보사회의발전 우편전화인터넷유비쿼터스 단순, 소량의정보교환 사람 - 사람간통신 복잡, 다량의정보교환불특정다수와통신 언제어디서나정보교환 사람 - 사물간통신 4
디지털사회의환경변화와동향 지식기반의전환시간기반의변화공간기반의변화 제품제공 business 지식제공 business 컨설팅 business 9AM ~ 6PM 업무 24 시간쇼핑, 금융, 택배업무등 직접방문 ( 금융, 쇼핑, 교육등 ) 사이버거래 / 금융, 사이버교육 시간적 공간적제약없이원하는정보를활용할수있는지식사회 5
현대사회에서의개인정보이용 6
개인정보의활용확대 정보기술과결합하여새로운민간, 공공서비스출현 주유고객멤버십 주유마일리지제공, 이벤트 온 오프라인을통해맞춤형결혼중개 결혼중개업 정유업 학원, 교습소 온라인수강신청, 수강자관리 인터넷 오프라인연계학습환경 온라인쇼핑 ( 상품검색결제, 배송서비스 ) 쇼핑센터 영화관 인터넷, 모바일예매 무인발권시스템 주택관리업 홈네트워킹관리 여행업 전자항공권발권 실시간온라인예약 7
정보사회의역기능 정보시스템사고 피해범위확대 대부분의업무가정보시스템으로처리됨에따라 시스템일부의사고가사회 국가전체에영향 새로운정보화 역기능출연 인터넷 게임중독, 반사회적유해매체범람, 사이버명예훼손등다양한정보화역기능출현 새로운정보화 역기능출연 개인정보가대량으로수집, 이용되기시작하면서 개인정보의유출 침해행위도크게증가 8
2. 개인정보보호의필요성
개인정보의개념 개인의사적영역과관련된일체의정보 일반적정보 주민등록번호 이름, 주소 가족관계등 통신 위치정보 통화 문자내역, IP 주소 화상정보, GPS 등의정보 정신적정보 기호, 성향 신념, 사상 사회적정보 교육정보 근로정보 자격정보 재산적정보 개인금융정보 신용정보 신체적정보 신체정보 의료 건강정보 10
개인정보의범위 사회발전에따른개인정보범위확대 개인정보 이름위치정보주민등록번호 바이오정보 개인의생각? 서비스 웹위치추적텔레매틱스전자주민카드가상현실? 법ㆍ제도 개인정보보호법위치정보보호법 생체정보보호가이드라인 신규법ㆍ제도? CCTV, 위치정보등에의한신규프라이버시침해가능성급증 신규기술을활용한서비스에대한개인정보보호대응책필요 11
< 참고 > 개인정보의유형 ( 예시 ) 유형인적사항신체적정보정신적정보재산적정보사회적정보기타 개인정보의예성명, 주민등록번호, 주소, 본적지, 전화번호, 생년월일, 출생지, 이메일주소, 가족관계등 ( 신체정보 ) 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게등 ( 의료, 건강정보 ) 건강상태, 진료기록, 신체장애, 장애등급, 병력등물품구매기록, 웹사이트검색기록, 사상, 종교, 가치관등 ( 개인금융정보 ) 소득, 신용카드번호, 통장계좌번호, 동산 ( 부동산 ) 내역 ( 신용정보 ) 개인신용평가정보, 대출및담보설정, 카드사용내역등 ( 교육정보 ) 학력, 성적, 출석상황, 상벌기록, 생활기록부등 ( 법적정보 ) 전과, 범죄기록, 재판기록, 과태료납부내역등 ( 근로정보 ) 직장, 고용주, 근무처, 근로경력, 직무평가기록등 ( 병역정보 ) 병역여부, 군번, 계급, 근무부대등전화통화내역, IP주소, 웹사이트접속내역, 이메일또는전화메시지, GPS 등에의한개인위치정보등 12
개인정보의가치 13
개인정보의유출위험증가 개인정보의가치및디지털기술의특성등으로인해 개인정보의요구가많아지고이에개인정보의노출기회가많아짐에따라, 개인정보의유출위험도지속적으로증가 개인정보의 비즈니스적가치증가 다양한개인정보 수집처의존재 개인정보 유출위험증가 디지털개인정보의 무한복제및빠른전파성 14
< 참고 > 개인정보의가격 지하경제서버를통해거래되는아이템내역 ( 시만텍 ) 순위거래항목비중가격대 1 신용카드 22% $0.50~$5 2 은행계좌정보 21% $30~$400 3 이메일패스워드 8% $1~$350 4 메일러 8% $8~$10 5 이메일주소 6% $2~$4 6 프록시 6% $0.50~$3 7 상세신원정보 6% $10~$150 8 사기행위 6% $10/ 주 9 사회보장번호 (SSN) 3% $5~$7 10 UNIX계정 2% $2~$10 현재 8.5 억명이상의가입자정보를공유하고있는 Facebook 의미국증권거래위원회상장가치는 1,040 억달러 (121 조원 ) 로추산 (Facebook, 2012) 사이버범죄세계에서의신용카드번호의가치 (2011, 트랜드마이크로 ) - 미화 1-3 달러 : 미국기반의신용카드번호 1 건당 - 미화 3-8 달러 : 중앙아메리카, 호주, 유럽기반의신용카드번호 1 건당 - 미화 6-10 달러 : 아시아, 중동및기타국가의신용카드번호 1 건당 15
개인정보침해로인한피해 - 개인 정신적피해심각 금전적피해발생 범죄에악용 사회활동지장초래 16
개인정보침해로인한피해 - 기업 17
개인정보보호의필요성 개인정보처리자가정보주체의개인정보를정당하게수집 이용하고, 개인정보를보관, 관리하는과정에서내부자의고의나관리부주의및외부의공격으로부터유출 변조 훼손되지않도록하며, 정보주체의개인정보자기결정권이제대로행사되도록보장하는일련의행위 개인정보침해에따른유출은 - ( 개인 ) 프라이버시침해에따른정신적 경제적피해를야기 - ( 기업 ) 고객의신뢰성저하로인한기업이미지손상및대규모소송제기시기관의경제적손실과도직결 - ( 국가 ) 정보사회자체에대한신뢰를붕괴시켜사회적혼란야기 이에개인정보보호를위해범국가적차원에서엄격하고적극적인노력필요 18
3. 개인정보주요침해사례
개인정보의유출 20
개인정보침해현황 개인정보침해규모 개인정보침해민원의지속적인증가 < 개인정보침해민원추이 > 122,215 건 대규모개인정보침해사례 발생일발생기업피해규모사고원인 2008.2 옥션 1,800 만명해킹 2008.4 하나로텔레콤 600 만명 자사고객개인정보를텔레마케팅업체에제공 2008.9 GS 칼텍스 1,150 만명자회사직원이유출 2010.3 신세계몰등 25 개업체 2,000 만건해킹 2011.4 현대캐피탈 175 만건해킹및내부관리소홀 2011.5 리딩투자증권 12,000 건홈페이지해킹 2011.5 세티즌 140 만명홈페이지해킹 25,333건 25,965건 18,206건 39,811 건 54,832 건 35,167 건 2011.6 2011.7 대부업체, 저축은행, 채팅사이트등 SK 컴즈 ( 네이트, 싸이월드 ) 1,900 만건 3,560 만명 해커가여러사이트의고객정보유출후인터넷에서거래 해커가관리자 ID/ 비밀번호를탈취 2011.8 삼성카드 47 만건자사직원이유출 2011.11 넥슨 1,320 만건해킹 2005 년 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012. 5 EBS 400 만건해킹 2012. 7 KT 870 만건해킹 21
침해유형별현황 (2010 년 ) 개인정보침해유형별현황 개인정보및사생활침해일반 (38,414 건 ) 주민번호도용 (10,137 건 ) 기술적ㆍ관리적조치미비 (1,511 건 ) 동의없는개인정보수집 (1,267 건 ) 목적외이용 / 제 3 자제공 (1,202 건 ) 22
개인정보침해원인 주민등록번호수집관행화 마케팅을위한개인정보수요증가 개인정보보호중요성인식부족 불필요한추가개인정보수집 기업경영우선순위소홀 개인정보유출해킹등을통한유출 관리소홀 기술적보호조치미흡 관리적보호조치미흡 23
개인정보의침해모습 개인정보수집처 개인정보유출 개인정보축적 거래 개인정보오남용 온라인 WWW 오프라인 24
개인정보유출의 2 차피해 개인금융정보를통한공인인증서재발급 개인금융정보 유출된개인정보 스팸메일 E-mail 을통한피싱 (Phishing) ID, Password 유출 신분증위조 개인기본정보 Messenger 사기 유료컨텐츠도용 아이템해킹 위조휴대폰발급 위조계좌개설신용카드발급 타인명의로인터넷회원가입 25
공공부문의개인정보침해사례 개인정보 오 남용 내부자관리부실로인한유출 개인정보매매 개인정보과다보유 모지자체공무원이도주차량을찾으려는동료의요청을받고차량등록시스템관리자에게부탁하여개인정보 150 건유출 ( 09.10 월 ) 경기도모교육지원청장학사가지방선거관련하여, 교직원 3 천명정보유출 ( 10.5 월 ) 모공단직원이고객정보 10 만건이기록된서류미파기및차량에방치, 업무와연관없이개인정보 86 만여건무단조회 ( 10.7 월 ) 모주민센터공무원이심부름센터에 520 여건개인정보유출, 등초본은건당 5 만원, 가족관계등록부는건당 10 만원에판매 ( 11.7 월 ) 국가기관의개인정보보유및유출실태조사 ( 김을동의원 ) 국세청 8 억 1 천만건 (21%), 경찰청 1 억 2 천만건 (27%) 의개인정보를규정된기한을넘겨보유 ( 11.2 월 ) 26
민간부문의개인정보침해사례 G 정유사회원정보관리를담당하는자회사직원이개인정보를판매할목적으로고객정보 1,125 만건유출 ( 08.9) S 카드사직원이고객 80 만명의이름과휴대전화번호, 주민등록번호, 직장이름을유출 ( 11.9) K 은행직원의부주의로인터넷복권구매안내메일에 32,277 명의발송대상고객명단을파일첨부하여발송 ( 06.3) 중국해커가국내의유명백화점, 도박사이트, 골프용품판매사등 25 개업체홈페이지를해킹하여개인정보 2 천만건유출 ( 10.3) H 금융사의현재또는과거고객 175 만명의개인정보해킹으로유출 ( 11.4) C 택배계열사영업소장이자사와거래하던홈쇼핑업체의고객정보 200 만건을빼내텔레마케팅업체에넘겨주고, 홈쇼핑업체의배송비용 1 억 2,300 만원챙김 ( 05.3) 27
개인정보침해사례 ( 수집이용 ) 1 개인정보수집ㆍ이용시동의 ( 위반사례 ) 멤버십가입신청시, 수집ㆍ이용목적, 수집항목, 보유ㆍ이용기간등 동의를받아야하는항목중일부누락 멤버십가입신청서 호텔 기존업무관행에의해제공받는자, 이용목적, 제공항목, 보유 이용기간, 동의거부권리등을고지하지않고동의획득 멤버십신청자 28
개인정보침해사례 ( 수집이용 2) 2 민감정보수집제한 ( 위반사례 ) 이동통신사가요금감면을위해민감정보 ( 신체장애정보 ) 를수집하면서 정보주체의동의미획득 신체장애, 병력 ( 病歷 ) 정보 1 요금감면신청 이동통신사고객 2 민감정보수집에대한동의미획득 이동통신사 29
개인정보침해사례 ( 수집이용 3) 3 불필요한개인정보과다수집 ( 위반사례 ) 정유사에서멤버십카드가입을위해개인정보를수집하면서군복무 정보를필수항목으로요구하고, 미기재시멤버십가입불허 멤버십카드신청서배부 정유사 필수입력항목에멤버십과무관한 군복무여부 포함 기재하지않을경우멤버십가입불허 멤버십카드신청고객 30
개인정보침해사례 ( 수집이용 4) 4 수집ㆍ이용목적외이용금지 ( 위반사례 ) 보험서비스를제공할목적으로보험가입자의개인정보를수집하였으나, 정보주체의동의없이보험상품홍보및판매를위해개인정보이용 1 보험서비스제공목적으로개인정보수집동의 2 별도의보험대출상품마케팅 보험회사 보험가입고객 31
개인정보침해사례 ( 관리 ) 1 홈페이지를통한개인정보노출 ( 위반사례 ) 개인정보취급자 ( 또는안내원 ) 의실수로타인이볼수있는홈페이지 Q&A 게시판에고객상세정보노출 1 자신의정보에대한질문글을게시판에게재 L 씨 다른이용자까지 L 씨의정보확인 3 2 쇼핑센터 개인정보내용이담긴답글을 Q&A 게시판에공개 32
개인정보침해사례 (CCTV) 2 CCTV 등영상처리기기적법운영 ( 위반사례 ) 영상처리기기 (CCTV) 설치ㆍ운영시단순영상녹화기능뿐만아니라, 음성녹음기능을사용해목적이외의정보수집 1 영상정보녹화 정보주체 2 영상및음성정보까지녹화및수집 관리자 33
개인정보침해사례 ( 제공 ) 1 제 3 자제공시동의 ( 위반사례 ) 대형마트가경품행사에응모한정보주체의개인정보를동의없이 생명보험사에제공 1 물품구입후받은응모권으로경품행사참여 대형마트 2 동의없이고객정보제공 마트고객 3 보험상품홍보전화 생명보험사 34
개인정보침해사례 ( 위탁 ) 2 개인정보처리수탁자에대한관리ㆍ감독 ( 위반사례 ) IT 서비스운영을전문업체에외부위탁하였으나, 개인정보취급업무에 대한관리감독을수행하지않아개인정보유출 1 IT 서비스운영위탁후관리 감독미이행 여행사 ( 위탁자 ) IT 전문업체퇴직자 3 2 재직시수집한개인정보유출 개인정보처리시스템접근통제조치미비 IT 전문업체 ( 수탁자 ) 35
감사합니다 개인정보보호종합지원포털 : www.privacy.go.kr 개인정보보호지원센터 : privacy.nia.or.kr 한국정보화진흥원 : 02-2131-0111, privacy@nia.or.kr