2012. 10. 18( 목 ) 한국인터넷진흥원정보보호본부 개인정보보호단개인정보침해사고점검팀 이준선임연구원 (johnny@kisa.or.kr)
1.1 개인정보의개념 개인정보 : 생존하는개인을식별할수있는일체의정보 생존하는개인에관한정보 자연인 ( 自然人 ) 이어야함법인또는단체, 사망자 ( 실종선고등관계법령에의해사망한것으로간주되는자포함 ) 은제외 특정개인을알아볼수있는정보 개인에대한사실 판단 평가등개인에관한모든정보개인을식별하거나식별가능 ( 다른정보와용이하게결합가능한경우포함 ) 한정보 (ex) 성명 + 주소, 성명 + 이메일주소
1.2 개인정보의유형과분류 일반적정보 주민등록번호 이름, 주소 가족관계등 통신 위치정보 통화 문자내역, IP 주소 화상정보, GPS 등의정보 정신적정보 기호, 성향 신념, 사상 사회적정보 교육정보 근로정보 자격정보 재산적정보 개인금융정보 신용정보 신체적정보 신체정보 의료 건강정보
1.3 개인정보의범위확대 개인정보의범위는사회환경, 기술발전에따라지속적확대 개인정보 이름주민등록번호 위치정보 바이오정보 개인의생각? 서비스 웹위치추적텔레매틱스전자주민카드가상현실? 법 제도 개인정보보호법 위치정보보호법 생체정보보호가이드라인 신규법 제도? CCTV, 위치정보등에의한신규프라이버시침해가능성급증 새로운기술을활용한서비스에대한개인정보보호대응책필요
1.4 개인정보유출경로 개인정보수집 이용 개인정보유출경로 개인정보축적 거래 2 차피해발생 공공기관준용사업자통신사업자인터넷사업자비영리, 동호회 내부자고의 위탁대리점 외부공격 ( 해커 ) 내부자관리부주의 온라인 오프라인 음성시장을통한개인정보거래 WWW CD 등저장매체를 통한직접판매 명의도용 대포폰개설 신용카드발급 회원가입 스팸발송, 명예훼손, 해킹등 악성행위에 이용금전적 피해 유발 스팸, SMS 등에악용 (Target Marketing)
1.5 개인정보유출로인한피해 (1) 개인 사회활동지장초래 범죄에까지악용 금전적피해발생 정신적피해심각 온라인마녀사냥 명의도용 보이스피싱 악성댓글
1.5 개인정보유출로인한피해 (2) - 기업 손해배상금지급 개인정보유출 정보주체의배상소송 소송비용발생 기업이미지하락 고객이탈 잠재고객외면 매출감소 가치하락 경쟁사의비방대상
[ 참고 ] 개인정보피해사례 우수고객명단 = 살해대상자명단? H 백화점직원 ( 신용판매과 ) 前직장동료 지인 브로커 지존파
[ 참고 ] 개인정보피해사례
[ 참고 ] 개인정보피해사례 범인 공모 중국해커 이통사대리점직원
[ 참고 ] 개인정보피해사례 카드발급을위해몇가지기본정보만확인하겠습니다
[ 참고 ] 개인정보피해사례 발생일기업개요결과 2012.04 Global Payments 2012.02 Google 2008 ~ 2010 Google 전자결제처리사업자인 Global Payments 시스템이사이버공격을당해계정정보약 5만 ~1,000만건도난 Google이광고쿠키를통해 Apple의웹브라우저 Safari의개인정보설정을우회하여이용자의웹기록을추적한사건 Google은스트리트뷰를자동차를이용해전세계수백만명이넘는개인의이메일, 비밀번호, 인터넷검색기록, 의료기록등을수집함 Global Payments는유출피해계정수가 150만이하로발표, 신용카드정보는유출되었지만, 이름, 주소, Social Security Number(SSN) 은누출되지않았다고주장 FTC는 Google에대한조사실시. 2012년 7월 11일에 Google이 FTC와화해하고 2,250만달러의벌금지불하고개인정보보호정책강화를위해비상팀 (Red Team) 을운영함 FCC는 2012년 4월, Google이당초주장과는달리의도적으로개인정보를수집했다고밝혔지만, 기술적으로불법은아니라면서 Google이조사를방해한혐의로 2만 5,000 달러의벌금을부과 발생일발생기업유출규모개요결과 2011.04 현대캐피탈 1.75 2011.07 SK컴즈 35 2011.11 넥슨 13.2 2012.04 EBS 4 현대캐피탈의전자금융거래법등관련법규에서정한사고예방대책이행소홀로유효고객 67만명 (38%), 종료고객 81만명 (46%), 웹회원 27만명 (15%) 의개인정보유출중국에서접속한해커가개입해 3,500만명의개인정보가유출, 해당사건은국내최대, 국외 7번째로큰유출사건임온라인게임 메이플스토리 의개인정보를소홀하게관리, 이용자의개인정보를유출중국 IP로부터악성코드가침투, 전체회원의약 20% 의개인정보유출 금융감독원, 현대캐피탈정태영사장에게문책경고수준의제재방침통보, 이는 1) 현대캐피탈이해킹사고의피해자라는측면이있고, 2) 해킹사실을외부에스스로공개, 3) IT보안예산이금감원권고수준인 5% 를넘는 7~8% 수준등을참작함법원은피해자들에게 1인당 100만원씩위자료를지급하라고판결한반면, 해당사건에대해서는해커를찾을수없다는이유로기소중지검찰, 넥슨의개인정보유출사건에대해전원무혐의처분결정현재조사진행中극소량의고객정보조회상황까지실시간감시하고고객본인이 2012.07 KT 8.7 870 만명에이르는 KT 고객정보가해커에의해유출 개인정보에대한조회, 활용이력을직접확인할수있는시스템 구축약속
[ 참고 ] 개인정보침해사례 국가발생일기업개요결과 악성코드에감염된차량점검앱을이용해계기판과경보음을조작하거나, 차 2012.09 - 악성코드에감염된스마트폰으로차량을원격에서조종 하는 자동차해킹 이가능하다는언론보도 량을급가속시키는등스마트폰으로차량을원격조정이가능한것으로나타 남. 그러나악성코드를통해침입한해커의공격을막기위한차량내부보안 기술을마련한제조업체가없어문제가심각한것으로나타남 한국 2012.09 카카오톡 - 새스마트폰으로교체하거나분실했을때기존스마트폰에담긴카카오톡의 개인정보가언제라도외부에유출될가능성이있다는실험결과가나옴 2011.12 삼성전자 삼성전자갤럭시 S 시리즈에서기본으로탑재된거울, 데 이터통신설정, 프로그램모니터등앱들이개인정보를 수집하고있는것으로나타남 방통위는삼성전자의개인정보수집여부를 KISA 를통해조사에착수, 삼성전자는개인정보수집하거나활용하지않았다라고적극해명 2012.09 Apple 해커집단 AntiSec 이 FBI 요원노트북을해킹해 Apple 모 바일기기 1,236 만대의 UDID( 제품에부여하는 40 자식 별코드 ) 와개인정보등을보유하고있다고밝힘 Apple 은향후업데이트된앱스토어에선식별정보사용을금지할것이라고강 조함 미국 2012.02 미국의 IT 블로거들이 Apple 이앱을통해개인정보를유출 있다고폭로함 Apple 은아이폰과아이패드의앱에사용자개인정보에접근하기전에사용자 의동의를구하고, 앱인증시개인정보정책을강화하겠다고밝힘 2011.12 Carrier IQ 삼성전자, Apple 및美주요이동통신사들이 Carrier IQ가보급자인 Carrier IQ, 스마트폰제조사인삼성전자, Apple, HTC, 그리고이통만든사용자정보수집소프트웨어를소비자동의없이전사인 AT&T, Sprint, T-Mobile 등이미국시카고와세인트루이스지방법원에세계적으로약 1억 4,000만대의스마트폰에내장하면서서소송中임미국소비자들에게피소당함
2.1 개인정보보호관련법체계 제정전제정후 (3 월 ) 공공행정정보통신금융 / 신용교육의료 공공기관의개인정보보호에관한법률 공공기관의정보공개에관한법률 전자정부법, 주민등록법 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법, 위치정보법 정보통신기반보호법, 전기통신사업법등 금융실명거래및비밀보장에관한법률 전자거래기본법 전자상거래소비자보호법 초 중등교육법 교육정보시스템의운영등에관한규칙등 생명윤리및안전에관한법률 장기등이식에관한법률 응급의료에관한법률 개인정보보호법 정보통신 금융 / 신용 정보통신망법 위치정보보호법 교육 의료 전자상거래소비자보호법 전기통신사업법등
2.2 정보통신망법기본원칙 OECD 가이드라인 1. 수집제한의원칙 2. 정보정확성의원칙 3. 목적명확화원칙 4. 이용제한의원칙 5. 안전보호의원칙 6. 공개의원칙 7. 개인참가의원칙 8. 책임의원칙 정보통신망법 필요한최소한범위안에서적법하고정당하게수집수집 이용목적범위안에서정확성, 완전성, 최신성보장수집 이용목적의명확화필요목적범위안에서적법하게처리, 목적외활용금지이용자의권리침해위험성등을고려, 안전성확보개인정보취급방침의공개열람청구권등정보주체의권리보장정보통신서비스제공자의책임준수 실천, 신뢰성확보
[ 참고 ] 개인정보생명주기 개인정보생명주기 수집이용 저장관리 제공위탁 파기 정보통신망법상의규정 개인정보수집 이용시동의취득개인정보수집의제한 ( 민감정보, 최소정보 ) 개인정보이용의제한개인정보보호책임자지정, 개인정보처리방침게재개인정보의관리적, 기술적보호조치개인정보의제3자제공개인정보취급위탁영업양수등에따른개인정보의이전개인정보파기정보주체의권리
2.3 정보통신망법적용대상사업자 전기통신사업자 전기통신사업법상의기간 별정 부가통신사업자 인터넷기반서비스제공사업자 영리를목적으로전기통신사업자의전기통신역무를이용하여정보를 제공하거나정보의제공을매개하는자 (ex) 웹호스팅업체, 경매 커뮤니티서비스제공자, P2P 사업자등 방송사업자 지상파사업자, 종합유선방송사업자, 위성방송사업자, 방송채널사용사업자, 공동체라디오방송사업자, 중계유선방송사업자, 음악유선방송사업자, 전광판방송사업자, 전송망사업자
2.4 개정된정보통신망법주요내용 (1) 인터넷상주민번호사용제한 ( 법제 23 조의 2, 개정 ) 영리웹사이트의주민번호수집 이용금지 ( 기존 : 이용자동의시주민번호수집가능 ) 예외 : 본인확인기관, 법령에따른수집, 방통위고시 ( 사업자 ) 주민번호삭제, 대체수단 (I-PIN) 도입 ( 이용자 ) 주민번호입력없이회원가입가능 개인정보누출등통지 신고제 ( 법제 27 조의 3, 신설 ) 개인정보누출시이용자통지및방송통신위신고 누출개인정보항목, 누출발생시점, 이용자및사업자 조치사항, 이용자상담부서와연락처등통지 신고 ( 사업자 ) 이용자상담접수부서마련, 상담원교육 ( 이용자 ) 해당사이트비밀번호변경, 상담문의등 이벤트주민번호입력 820211 ******* 쿠폰입력 주민번호입력 620714 ******* 회원가입 주민번호입력사용금지 750623 ******* Do not use 신고 통지
2.4 개정된정보통신망법주요내용 (2) 개인정보유효기간제 ( 법제 29 조제 2 항, 신설 ) 이용자개인정보이용내역통지제 ( 법제 30 조의 2, 신설 ) 유효기간지나면개인정보파기!! 이름, 전화번호 ㅇㅇ보험회사
3.1 개인정보수집사회 구글 (1) 개인정보통합후달라지는것 구분 변경전 변경후 회원정보관리 지메일, 유튜브등 60개서비스별관리 모든개인정보통합관리, 결합하여활용 행태분석 기존구글검색이용자활동분석 검색 + 유튜브, 캘린더, 문서도구등도통합분석 광고노출 검색활동분석을통한맞춤형광고 모든서비스이용행태복합분석하여맞춤형광고에적용
3.1 개인정보수집사회 구글 (2)
3.1 개인정보수집사회 구글 (3) 1 G-mail 등에로그인한상태에서검색과같은구글서비스를이용하면 ID 와함께이용기록이저장됨 - 이용기록최소화를위해꼭필요시만로그인 2 한번로그인하면직접로그아웃할때까지로그인상태가계속유지됨 ( 종료후다시방문해도동일 )
3.2 잊혀질권리 잊혀질권리를명시한 EU 개인정보보호규정 ( 안 ) 발표 ( 12.1 월 ) 잊혀질권리보다표현의자유를우선 - 잊혀질권리에소극적 과도한의무로기업활동을위축 - 인터넷에서개인의모든정보를 < 사업자의무사항 > 삭제하는것이기술적으로어려움 1 개인정보삭제요청시지체없이삭제 2 복사, 링크등에대한삭제요청시해당사업자에게통보 3 삭제가불가능할경우해당개인정보처리정지
3.3 SNS 를활용한개인정보노출및피해사례 (1) 시사점 < 서울신문 (2011.6.11), 페이스북 얼굴인식기능 사생활침해논란확산 獨 英 아일랜드조사착수 >
3.3 SNS 를활용한개인정보노출및피해사례 (2)
4. KISA 의개인정보보호활동 (1) 개인정보노출대응상황실운영 ( 09.11~) 개인정보노출검색및삭제 전세계웹사이트검색및삭제
4. KISA 의개인정보보호활동 (2) 개인정보침해신고센터 개인정보분쟁조정위원회 성형전 / 후사진을홈페이지에게시, 마케팅에이용 이를알게된 A 양, 개인정보분쟁조정신청 심각한정신적피해를입힌성형외과에대하여 300 만원의손해배상금지급결정
4. KISA 의개인정보보호활동 (3) 주민번호클린센터 중소기업기술지원센터 http://clean.kisa.or.kr 내주민번호가도용되고있진않을까? 주민번호이용날짜, 사이트명, 이용목적등
4. KISA 의개인정보보호활동 (4) 주민번호수집ㆍ이용금지지원 아이핀 (i-pin) 보급 * 아이핀발급기관 ( 무료 ) 서울신용평가 KCB 나이스신용평가공공 I-PIN 센터 siren24.com ok-name.co.kr idcheck.co.kr g-pin.go.kr 수집금지를위한사업자지원강화 현황점검상담 컨설팅교육 홍보 주민번호대신아이핀이용 웹사이트 주민번호 연령확인 성인인증 마일리지.