개인정보 보호

[SK Shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안(29일차)

-----

 

 

 

현대사회와 개인정보

 

아날로그 vs 디지털

좌측 : 아날로그   /   우측 : 디지털

 

좌측의 그림에선 직접 방문하고 서류를 신청하여 제출을 하고, 혹시 분실이나 유출이 되더라도 종이이기 때문에 못쓰게 되거나 퍼져봤자 그리 많은 사람이 보지 못한다.

디지털화 되면서 모든 기록은 시스템에 의해 DB에 저장되고 많은 서비스들이 시스템으로 구성되어 쉽게 이용 할 수 있다. 하지만 그렇기에 시스템만 접근하면 많은 정보가 유출되는 시대이다.

행정시스템뿐만 아니라 의료기관, 금융기관 등 많은 기관이나 업체가 디지털화 되어 개인정보들이 활용된다.

 

디지털 사회의 개인정보

• 디지털 사회 개인정보

- 개인의 의지와 관계없이 모든 것이 기록되는 사회

- 나의 정보가 언제 어떻게 기록됐는지 알 수 없는 사회

- 나의 정보를 누가 처리하고 알고 있는지 알 수 없는 사회

- 나의 정보를 왜 처리하는지 알 수 없는 사회

- 나의 정보를 안전하게 관리하고 있는지 알 수 없는 사회

- 나의 정보를 어떻게 사용할 것인지 알 수 없는 사회

 

• 정보주체의 의지와 관계없는 지속적인 기록과 관리

수도권 시민의 하루평균 CCTV 포착횟수는 83회라고 한다. 이 CCTV들은 24시간 모니터링 되며 영상파일로 어딘가에 어쩌면 영원히 남아있다.

 

• 인지할 수 없는 복잡한 프로세스

 

배달서비스를 이용할 때 이용자는 가입하고 주문, 결제만 하면 간단히 배달을 받을 수 있다. 하지만 상세히 보면 많은 과정을 통해 이루어 진다. 그 와중 개인정보는 해외까지 거치며 수많은 업체와 시스템에 저장되어 유출될 수 있다.

 

• 내부자에 의한 개인정보 오남용

개인정보를 관리하거나 조회할 수 있는 내부자가 팔거나 유출할 수 있다.

 

• 외부 해커에 의한 개인정보 유출

이 사건은 책임자가 없다고 한다. DB관리자는 권고사항에 따라 백신을 업데이트를 했을 뿐이라 잘못했다고 할 수 없다. 알 백신은 무료이기 때문에 책임을 물을 수 없다. 개인정보에 관한 법이 치밀하지 않은 시절이라 그냥 흐지부지 넘어간 사건인 것 같다.

 

• 개인정보 유출 및 침해사고 경로와 2차 피해

특히 요즘은 단순 신원정보를 이용해 저런 2차피해가 아니라 sns를 통한 일상생활, 주변인물, 취미, 쇼핑 내역을 통해 좋아하는 것과 싫어하는 것 등의 정보를 통해 고차원적인 사기를 당할 수도 있다. 이러한 정보들은 높은 가치를 가지게 되었다.

내가 언제 어디서 무엇을 했는지, 앞으로 무엇을 할 것인지까지 예측하는 무서운 시대가 되었다.

 

개인정보보호의 필요성과 개인정보 보호법

위의 글과 사례들을 보니 개인정보는 가치있고 유출되서는 안되는 중요한 것이다. 개인정보는 정보주체들 각자도 유심히 관리해야 하고 보호하는 법도 필요하다.

• 개인정보 보호법 제정 및 개정 이력

K사 유출 사건 때 3500만명에 가까운 정보가 유출되었다. 거의 아동과 노인들을 빼고는 국내인구의 대부분의 정보가 털린것이다. 그래서인가 '13.08 개정에서 주민번호 처리를 제한했다고 한다.

'17.04 사건은 쇼핑몰 행사에 응모할 때 사인한 서류에 개인정보를 다른 보험사나 은행같은 곳에 넘기는 안내를 매우 작게 적어 동의를 받은 사건이다. '17.04 개정 때 글자크기 최소 9pt를 법에 적었다고 한다.ㅋㅋ

 

 

 

 개인정보와 개인정보 처리 업무

 

개인정보의 이해

• 개인정보의 예

 

• 개인정보의 개념

 

 

 

개인정보처리자와 개인정보처리시스템

 

- 개인정보처리자

업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

 

- 개인정보처리시스템

데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.

개인정보처리시스템의 일반적인 구성

 

개인정보처리 목적과 법률

- 행정기관은 별도의 가공과 목적을 가지기 보다는 필요한 정보를 수집하고 필요한 기관이나 업체에 제공하고 관리하는 역할을 주로 한다.

ex) 행정기관에서의 일반적인 개인정보처리 목적

 

 

- 기업의 경우 정보를 수집해 각종 부서에서 필요한 업무를 위해 다양한 가공과 처리를 하여 이익에 기여한다.

ex) 기업에서의 일반적인 개인정보처리 목적

 

- 개인정보처리에 관한 법률

좌측의 법 조항들을 기업들은 우측처럼 고지해야 한다.

 

 

- 개인정보처리를 원할하게 하기위해 흐름도를 작성하기도 한다.

개인정보 흐름도(발란)

 

 

개인정보처리 관련 과태료 처분

기업 및 기관의 개인정보 보호 위반과 과태료 처분 사례

• 쿠팡·네이버 등 9개 오픈마켓, 개인정보 보호 미흡으로 과태료…카카오·위메프만 제외 - 디지털데일리 (ddaily.co.kr)
• https://www.inews24.com/view/1509049
• http://www.cctvnews.co.kr/news/articleView.html?idxno=231549