전자금융거래에서의개인정보보호방안 2007. 12. 5. 한국정보보호진흥원 개인정보보호지원센터심의지원팀장 강달천
목 차 I II III IV 개인정보보호현황 금융거래환경변화와문제점 금융분야에서의개인정보침해사례 개인정보보호정책방향 2
I. 개인정보보호현황
1. 들어가는말 : 개인정보보호! 왜?? 4
2. 정보사회에서의개인정보 정보사회의핵심인프라 현대정보사회에서는국가든기업이든모든경제주체의활동이개인정보를매개로하여유지. 운영 개인정보 DB 없이는단하루도정상적인활동곤란 개인정보의수집 사용대폭증대 민간부문 공공부문 금융거래확대 고객관리강화 행정서비스전자화 복지행정기능확대 유출발생시피해가심각 개인적피해 ( 정신적. 경제적피해 ) 에그치지않고 사회적혼란야기및정보사회자체에대한신뢰붕괴 5
3. 개인정보침해현황 개인정보침해신고 : 연도별건수 23,333 22,618 단위 : 건 20,000 18,206 19,000 17,777 17,569 18,000 17,000 03 년 04 년 05 년 06 년 07. 10 월 출처 : 한국정보보호진흥원 민원동향분석 개인정보침해신고ㆍ상담건수는지속적으로증가 주민번호등타인정보도용관련민원이지속적증가추세로전체민원의 30~50% 동의없이수집한개인정보또는고객의개인정보를무단으로이용하는텔레마케팅과관련한민원이크게증가추세 또한이용자의개인정보누출우려확산으로사업자의고객정보시스템의기술적조치미이행과관련한민원증가추세 6
법 교육정보시스템의운영등에관한규칙등헌4. 개인정보보호법관련법률현황 분야 주요법률 기타개인정보관련법 기타업무상비밀준수규정 공공행정 정보통신 금융 / 신용 ( 기타상거래포함 ) 의료 공공기관의개인정보보호에관한법률 정보통신망이용촉진및정보보호등에관한법률 신용정보보호법전자금융거래법 보건의료기본법의료법 공공기관의정보공개에관한법률 전자정부구현을위한행정업무등의전자화촉진에관한법률, 주민등록법, 호적법 자동차관리법, 도로교통법, 국세기본법 국정감사및조사에관한법률, 통계법등 통신비밀보호법 위치정보의보호및이용등에관한법률 정보화촉진기본법, 정보통신기반보호법 전기통신사업법, 전자서명법 인터넷주소자원에관한법률등 금융실명거래및비밀보장에관한법률 독점규제및공정거래에관한법률 방문판매등에관한법률 전자상거래등에서의소비자보호에관한법률 전자거래기본법, 보험업법, 증권거래법등 응급의료에관한법률 장기등이식에관한법률 생명윤리및안전에관한법률 인체조직안전및관리등에관한법률 후천성면역결핍증예방법, 전염병예방법등 변호사법 법무사법 세무사법 관세사법 공인노무사법 외국환거래법 공증인법 은행법 근로기준법 노동위원회법 직업안정법 공인중개사의업무및부동산신고거래에관한법률 형법제 317 조등 교육 교육기본법 초중등교육법 7
5. 주요분야개인정보규제현황 분야 주요법률 적용범위및적용대상 법미적용대상 공공행정 정보통신 공공기관의개인정보보호에관한법률 정보통신망이용촉진및정보보호등에관한법률 공공기관이처리하는개인정보 지자체및각급학교등공공기관 정보통신서비스이용자의개인정보 정보통신서비스제공자및준용사업자 off-line 사업자 - 비디오대여점 - 세탁소 - 학습지회사 - 기획부동산 - 대부업자 - RFID 제조업자등 금융 / 신용 ( 기타상거래포함 ) 신용정보보호법전자금융거래법 신용정보업자등이처리하는신용정보 신용정보집중기관, 신용정보업자, 기타신용정보취급사업자등 비영리사업자, 단체 - 종교단체, 자선단체 - 온라인동호회 - 개인블로그등 의료 보건의료기본법의료법 의료기관등이처리하는환자기록, 비밀 의료인및의료기관종사자 통신사등의하부영업점 웹호스팅사업자및 P2P 사이트운영자등 교육 교육기본법 교육기관이처리하는학생, 학부모정보 모든교육기관및종사자 개인정보취급하는개인 8
II. 금융거래환경변화와문제점
1. 금융거래정보환경변화 정보공유의글로벌화 FTA 체결 : 한국 - 미국, 한국 -EU 정보의해외이전요구, 국제표준요구 국내금융회사해외진출증가 외국금융회사국내진입확대 자본시장통합법통과 ( 09.2 월시행 ) 금융회사간 M&A 고객정보유출위험증가 전자금융거래법시행 ( 07.1.1 시행 ) 전자금융사고시금융기관책임강화 10
2. 금융환경의문제점 불법신용정보조회근거없는무단신용정보조회, 불법채권추심다양한전자금융관련범죄발생카드복제 : CD/ATM, 휴대용복제기등 Voice 피싱 : CD/ATM 이체사기변조사기 : 계좌번호, 금액변조온라인신용카드결제공격 : 안심클릭, ISP취약점공격 시스템장애증가 해킹, 프로그램오류, 네트워크오류, operation 오류 11
III. 금융분야에서의개인정보침해현황
1. 은행의고객정보유출 은행고객주민번호유출 인터넷복권안내전자우편발송 ( 06.3) XX 은행 고객 32,277 명개인정보가이메일에첨부되어발송 13
1,026명이개인정보유출에대해 300만원의민사소송제기이름과이메일주소만유출된 2명 : 각 10만원배상주민번호까지유출된 1,024명 : 각 20만원 1심에서는각 7만원과 10만원의손해배상판결 피해고객에게 20 만원씩의배상판결 ( 서울고법, 07.11.27) 개인정보가공개되지않은권리가침해당하였고, 이는인격적이익에직접관계되므로원고의정신적피해인정 손해배상판결외에 XX 은행에대한법적처벌? 당시에는신용정보보호법및정보통신망법등적용불가 14
2. 은행의무단고객정보열람 사건개요은행홈페이지게시판에연락처없이건의사항게시은행의담당자로부터전화를받음민원인은해당은행의거래내역정보무단열람주장함 개인정보분쟁조정위원회결정 피신청인은민원해결을위한정보열람을주장하지만, 거래내역정보는본래의목적으로만이용하여야함 따라서무분별한정보열람으로인한정신적손해에대해금 50 만원의손해배상을지급하도록결정 15
3. 유선전화사업자의불법신용정보조회 16
사건개요민원인은 특수번호이용가능성 을문의어느날해당사업자의신용정보조회사실을인식함민원인은신용정보조회로피해를입었다고주장 개인정보분쟁조정위원회결정 피신청인은단순한실명조회목적으로행해진것으로 법위반은아니라고주장하지만, 신용정보보호법의이용목적범위를넘은것으로이에따른손해에대해금 10 만원의손해배상을지급하도록함 17
변호사들민사채권추심에개인신용정보조회금지 개인사이의민사채권추심에도개인신용정보를조회할수있도록한검찰의잘못된법해석에제동이걸렸다. 재정경제부는상 ( 商 ) 거래에서발생하는상사채권에대한추심을할경우에만엄격히한정해개인신용정보를조회할수있도록개인정보를보호하는방향으로 신용정보보호와이용에관한법률개정안 을오는 26 일까지입법예고한다고밝혔다. 검찰이신용정보법을지나치게확대해석해개인신용정보의무차별적인조회가가능하게되면서사생활침해우려가커지고있다는 CBS 보도가나오자 (3 월 22, 23 일, 5 월 1 일보도 ) 그대책을마련한것이다. 재경부는 " 상인들사이의거래인상 ( 商 ) 거래에서발생한채무관계에서의채권추심에한해서만채무자에대한신용정보조회가가능하다는내용을넣어법을개정한다 " 고밝혔다. 18
4. 신용카드회사의 신용정보활용동의 문제 앵커 : 구멍뚫린신용정보, 그문제점을연속보도해드리고있는데주민등록번호나전화번호같은개인정보역시자신도모르게물건처럼거래되고있습니다.. 신용카드업체에카드발급을신청해봤습니다.. 신청서에이름과주민번호,, 주소,, 전화번호같은개인정보를모두적고나니,, ' ' 개인정보제공동의서 '' 에서명을요구합니다.. 신용카드사직원 :: " 체크한데만적어주시면돼요.. 세군데다적어주셔야돼요.. 서명을안해도되냐고묻자,, 가입이안된다고말합니다.. 신용카드사직원 :: " 세군데다안적어주시면요,, 저희가만들기가...... 심사팀에서심사를안해줘요."." '' 개인정보제공동의서 '' 입니다.. 가입한회원의개인정보를항공사와정유사등제휴업체에제공하는데,, 10 여개의보험사에도텔레마케팅용으로줄수있다고돼있습니다.. 신용카드사담당자 ( 직원 ) :: " 그자료가지고보험회사에서 TM( 전화판촉 ) 활동을하시는것이거든요.. 거기에대한언급을해놓은겁니다."." 보험사는카드사에서넘겨받은개인의주소나전화번호등을이용해보험영업을하고,, 카드사는보험사로부터수수료등을챙깁니다.. 카드사가회원들의개인정보를갖고사실상장사를하고있는셈입니다.. 휴대전화와유통업체,, 백화점회원으로가입할때도 ' 정보제공 ' 동의서 '' 에서명해야하는데,, 이들역시비슷한방법으로회원의정보를거래하고있습니다.. 개인정보거래업자 :: " 카드쪽이그래도고급 ( 개인정보 ) DB 로보고있습니다.. 카드발급된다는건소비를한다는개념이잖아요.. A 급이라면 2 천원까지올라가고..." 반면게임사이트등인터넷업체들이확보한회원의개인정보는허위인경우도많아싼값에거래됩니다.. 불법개인정보거래도성행하고있습니다.. 인터넷업체나대리운전,, 폰팅업체등이폐업할경우에는,, 이들이갖고있던개인정보는무더기로유통됩니다.. 개인정보거래업자 :: "1 개당 5 원,, 10 원그렇게하는거죠.. 몇십만개,, 몇백만개씩왔다갔다하는거죠.. 합법이든불법이든개인정보는자신도모르게이회사저회사로팔려나가고있는것입니다.. 19
5. 한미 FTA( 07 4.2) 와고객금융정보보호 금융정보처리의해외위탁허용 FTA 협정발효 2 년내에비밀유지, 소비자보호등미국금융 회사와동일한보호를받는조건으로금융정보해외이전허용 - 국내외국은행의본점, 지점간업무위탁허용 - 외국은행국내지점이고객데이터를해외전산센터나콜센터등으로이전및처리가능 - 데이터뿐아니라전산시스템의해외이전도가능 문제점한국인의금융정보노출위험한국감독당국의상시검사권한약화 한국인정보를싱가폴에서가공, 미국본사이전, 인도콜센터의마케팅 DB 가능 자본시장통합법으로금융시장개방 외국기업의금융정보처리규제곤란 20
< 사례 > 안심결제시스템의취약점악용안심결제취약점악용하여 1억원갈취한혐의자체포신용카드번호분석 유효카드번호생성소액결제시스템 ( ㅇㅇ카드 ) 게임아이템구매 현금전환 XX 은행의보완책마련미비 XX 은행은국내 Y 은행합병시부터전산시스템해외이전시도 국외싱가폴의시스템활용의도 그러나국내법으로금지 국내의글로벌금융기업이정보송출시금융당국의제약을받음 금융정보처리의해외위탁처리는금융시장개방과맞물려국내개인정보보호를더욱어렵게할수있음 21
IV. 개인정보보호정책방향
1. 개인정보침해원인및정책방향 개인정보침해유형및원인 개인정보보호정책방향 < 개인정보침해유형 > 1. 고객정보의불법수집오남용 2. 타인의주민번호도용 3. 내부직원, 대리점직원등의불법적개인정보유출 4. 해킹ㆍ스파이웨어등외부공격에의한개인정보유출 1. 인식제고를통한자율적개인정보보호촉진 2. PETs 등기술기반에의한개인정보보호강화 < 정보사회역기능 > 1. 익명성ㆍ비규범성ㆍ비감독성 2. 신기술의보안성취약및개인정보침해기술등장 3. 정보통신환경변화에법적규제뒤처짐 3. 법제도개선등정책기반에의한개인정보보호강화 23
2. 제도적 기술적보호방안마련 법제도적보호대책마련 FTA 체결관련한법또는규정정비 ( 해외이전보호조치등 ) 자본시장통합법 등에의한고객정보개방에대비신용정보법, 전자금융거래법등미비점재정비 기술적보호대책마련개인정보사고예방시스템운영의무화보안이적용된금융IC카드서비스제공 ( 보안토큰표준제정 ) 취약개인 PC 운영자를위한피싱사이트구분시스템개발모바일뱅킹보안강화등 24
감사합니다