안전행정부는 사회 전반의 개인정보의 보호수준 향상과 실태 개선을 위해 정부부처 합동으로 구성한 ‘개인정보보호합동점검단’을 중심으로, 개인정보의 유출이나 침해 우려가 있는 취약 분야 및 다량의 개인정보를 취급하는 분야 등을 대상으로 실태검사를 실시하고 있다.
 
이에 안행부는 24일 개인정보보호 종합지원 포털에 ‘2014 개인정보보호법 위반에 따른 행정처분 사례’ 문서를 공지하고 자체 시정 기회 및 인식 전환 계기로 삼아 정보보호수준 제고를 도모할 것을 권고했다.
 
올해 민간분야 개인정보보호법 위반행위 행정처분 사례를 살펴보자.
 
우선 수집·이용, 제공 시 동의 및 고지 의무 위반 사례로는 개인정보 수집 시 정보주체의 동의를 받지 않는 경우가 있다. 교육기부 홈페이지에서 정보 수집시 동의를 받지 않는 경우가 적발됐다. 이 경우 1회 위반시 1천만원의 과태료를 받게 된다.
 
또 개인정보 수집시 필수 고지사항을 고지하지 않는 경우다. 수집·이용목적, 수집항목, 보유·이용기간, 미동의 시 불이익 등에 대한 고지가 명확히 있어야 한다. 사례를 보면, 홈페이지를 통한 개인정보 수집 시 동의거부권 및 불이익 사항 고지 누락, 민원게시판에서 개인정보 수집시 필수사항 전부를 누락한 경우, 수집단계에서 필수, 선택항목을 구분하지만 고지단계에서 필수/선택항목을 구분하지 않아 고지내용이 미흡한 경우도 적발됐다.
 
개인정보 과도 수집 및 서비스 거부 금지 조항 위반 사례로는, 홈페이지에서 선택정보인 주소 수집에 미동의 시 회원가입 절차가 정지되어 서비스 이용이 제한된 사례도 적발됐다. 이 경우 1회위반시 600만원의 과태료가 부과된다.
 
개인정보 파기 의무 위반 사례도 있었다. 홈페이지에서 탈퇴한 회원 정보를 기간내 파기하지 않거나 일부 미파기 사례도 적발됐다. 이 경우 1회 위반시 600만원 과태료가 부과된다.
 
개인정보 수집 동의를 받는 방법을 위반한 경우는, 홈페이지에서 주민번호와 여권 정보를 일반 정보와 구분하지 않고 일괄 동의 받는 사례, 일반 정보와 마케팅 활용 정보를 구분 않고 일괄해서 동의 받는 사례 등이 적발됐다. 이 경우 1회 위반시 200만원 과태료다.
 
또 홈페이지에서 선택정보인 여권번호 수집에 미동의 시 회원가입 절차가 정지되어 서비스 이용이 제한되는 경우도 있었다. 1회 적발시 600만원 과태료 사항이다.
 
개인정보 처리 위탁 시 준수사항을 위반하는 경우도 있었다. 위탁 시 필수사항은 7개 항목으로 위탁 목적·범위, 목적 외 처리금지, 기술적·관리적 보호조치, 재위탁 제한, 안전성 확보 조치, 관리현황 점검·감독, 손해배상 등이며 7개 항목을 문서에서 일부 또는 전부 누락하는 경우도 적발됐다. 1회 위반시 200만원 과태료 대상이다. 또 수탁자에 대한 교육 및 실태점검 등 관리·감독을 실시하지 않는 사례도 있었다. 시정조치 명령을 받게 된다.
 
그리고 개인정보 안정성 확보조치 의무 위반 사례도 있었다. 조치사항 6개는 내부관리계획 수립, 접근통제 및 접근권한 제한, 저장·전송 시 암호화, 접속기록 보관, 보안 프로그램 설치, 물리적 보호조치 등이다.
 
접근통제 및 접근권한 제한 조치 위반 사례로는, 외부에서 관리자 페이지에 접속시 VPN이나 전용선 등 안전한 접속 수단을 사용하지 않고 아이디, 비밀번호만으로 인증하는 경우, 홈페이지 회원관리의 관리자 계정을 2명이 공유하는 경우, 안전하지 않은 비밀번호 작성 규칙 수립, 내부관리계획으로 수립한 비밀번호 작성규칙을 실제 적용하지 않는 사례, 퇴사자 접근권한 미삭제, 취급자의 권한 변경이력 기록 미관리 사례들이 적발됐다.
 
또 개인정보 저장 및 전송 시 암호화 위반 사례로는, 홈페이지에서 비밀번호 저장시 일방향이 아닌 양방향 암호화 실시, 비밀번호 및 주민번호 저장 시 암호화 미조치, 업무용 PC에 주민번호 포함 파일 저장시 암호화 미조치, 회원의 비밀번호 전송시 암호화 미조치 등이 적발됐다.
 
접속기록 보관 및 위·변조 방지 조치 위반 사례도 있었다. 관리자페이지의 접속기록 미생성 및 미보관 사례, 접속기록을 6개월 이상이 아닌 3개월만 보관하는 사례 등이다.
 
안전조치의무 위반시는 3천만원 이하의 과태료가 부과되며 1회 600만원이 부과된다.
 
이에 데일리시큐는 오는 10월 29일 ‘2014 공공기관·기업 개인정보보호&정보보호’(PASCON 2014) 컨퍼런스를 개최해 공공기관과 일반 기업, 금융기관 등에서 주의해야 할 개인정보보호 조치사항과 대응방안에 대한 정보공유의 시간을 갖는다.
 
현재 개인정보보호 및 정보보호 전문기업들의 참가 신청을 받고 있으며 컨퍼런스 참관신청은 10월 초부터 데일리시큐 홈페이지를 통해 신청이 가능하다. 2014년을 정리하고 2015년을 준비할 수 있는 이번 PASCON 2014 컨퍼런스는 공공기관, 일반기업, 금융기관 개인정보보호 및 정보보호 책임자, 실무자만을 대상으로 이루어진다.
 
정보보호 기업 중 참가를 희망하는 기업은 데일리시큐 길민권 기자(mkgil@dailysecu.com)으로 문의하면 된다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com