아티클T는 탤런트뱅크의 검증된 콘텐츠 플랫폼입니다.
탤런트뱅크 바로가기
산업구조 해부

중소기업 개인정보 보호, 이것만 갖추면 안심!

산업구조 정보보호 중소기업

교육 서비스를 제공하는 W교육이 해킹 공격으로 수강생의 이름, 연락처 등 개인정보가 유출되어 3700만 원의 과징금과 1000만 원의 과태료를 부과 받았다.

해당 업체는 보안 사항을 점검하지 않고 온라인에 파일을 업로드해, 개인정보가 웹셸[1]Web Shell, 서버 관리자 권한을 획득하는 해킹 방법 방식을 이용해 유출된 것으로 알려졌다. 해킹을 1차적으로 방지할 수 있었던 ‘침입차단시스템’ 등의 보안솔루션 업데이트가 6개월간 미뤄졌고, 탈퇴자 정보도 즉시 파기하지 않은 정황도 함께 드러났다.

 

고객 개인정보 또는 개인 신용정보를 수집해 서비스를 제공하는 중소기업과 스타트업이 많습니다. 하지만, 개인정보 보호에 대한 전문 역량을 갖춘 개인정보보호 담당자 또는 사내 변호사를 확보한 기업은 그다지 많지 않습니다. 개인정보를 어떻게 보호하고 관리해야 하는지 인식하지 못하다가 정보 유출 사고가 발생하면 당황하는 경우가 자주 발생하고 있습니다.

 

이번 글에서는 기업에서 개인정보를 다루는 과정에서 질문 받았던 실제 질의응답으로 알려드리고자 합니다.

 

개인정보 보호 용어에 대한 정의

1. ‘개인정보 취급자’와 ‘개인정보 처리자’는 다른 사람인가요?

개인정보 처리자는 고객으로부터 수집한 개인정보를 업무를 목적으로 처리하는 법인, 단체와 개인을 말합니다. 개인정보 취급자는 개인정보 처리자(기업 또는 단체)의 감독을 받아서 개인정보를 처리하는 직원(임직원, 시간제 근로자, 파견직원 등)을 말합니다. 정리하면 개인정보 처리자는 기업, 개인정보 취급자는 직원입니다.

 

2. 위탁? 수탁? 제공? 어떤 상황에 쓰는지 헷갈려요.

개인정보처리자의 개인정보 처리 업무 중 다른 회사와 계약에 의해 업무를 위임하는 것을 위탁이라고 합니다.

다른 회사로부터 업무의 처리 대행을 부탁받아 직접 처리하는 것을 수탁이라고 합니다.

제공은 제3자 제공이라고도 하며 개인정보 처리자의 업무와 무관하지만, 고객에게 이익을 주고자 다른 회사에 처리를 위임하는 것을 말합니다.

예를 들어 콜센터 업무는 직접 처리할 수 있지만 전문성을 갖춘 다른 업체에 위임하는 위탁입니다. 기업의 개인정보 처리 업무와 무관하게, 회원에게 보험 가입 등을 위한 개인정보를 전송하는 경우는 제공으로 볼 수 있습니다.

 

3. ‘개인정보처리방침’과개인정보보호지침’? 어떻게 달라요?

개인정보처리방침은 정보주체(회원 또는 고객)개인정보 처리자(기업)에게 제공한 개인정보를 어떻게 내부적으로 안전하게 보호하고 있으며, 위탁 업체나 제3자 제공 정보를 고객에게 알리기 위해 사용되는 문서입니다. 반드시 홈페이지와 모바일 앱에서 확인할 수 있어야 합니다.

개인정보보호지침은 기업이 정보주체로부터 수집된 개인정보를 안전하게 처리하며 보관하는 규칙(기준)을 의미합니다.

즉, 개인정보처리방침은 고객용이고, 개인정보보호지침은 회사 내부의 개인정보 취급자(직원)를 위해 작성한 문서입니다.

 

 

개인정보 수집/이용/제공 시 주의사항

1. 개인정보를 수집하려고 하는데, 고객에게 어떤 정보를 알려줘야 안심할까요?

고객의 개인정보를 수집할 경우 반드시 ‘동의’ 받아야 하며, 고객에게 다음 사항을 꼭 알려줘야 합니다:

  • 개인정보의 수집 이용 목적
  • 수집하려는 개인정보의 항목
  • 개인정보의 보유 및 이용 기간
  • 동의를 거부할 권리가 있다는 사실
  • (동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용)

*’동의 거부권’을 표기해야 합니다. 거부권 표기를 누락하는 기업이 많으므로 주의하세요.

 

예를 들어, 다음과 같이 작성해야 합니다.

l 개인정보 수집 목적 및 항목 : 회원 가입

  (필수) 이름, 핸드폰번호, 이메일 주소, 아이디, 비밀번호

  (선택) 주소, 전화번호

l 개인정보의 보유 및 이용 기간

  OO회사는 회원이 탈퇴하거나 수집 목적을 달성한 경우 회원 DB 삭제, 문서 파기 등의 방법으로 해당 개인정보를 즉시 파기합니다.
  다만, 전자상거래 등에서 소비자 보호에 관한 법률 등 관련 법령의 규정에 의해 보존해야 하는 기록은 일정 기간 보관 후 파기합니다.

l 개인정보 수집 및 이용 동의를 거부할 수 있습니다. 다만, 이 경우 회원가입이 제한됩니다.

 

2. 회원 가입 속도를 높이고 싶은데, 일괄적으로 ‘개인정보 수집 동의’를 받아도 될까요?

일괄 동의가 아닌 개별 동의를 받아야 합니다. 일부 기업에서는 회원 가입 화면의 가장 아랫부분에서 일괄적으로 동의 받는 경우가 있는데, 법적 요건을 위반하는 행위입니다. 다음 사항은 구분해 동의 받아야 합니다.

  • [필수] 개인정보 수집/이용 동의
  • [필수] 개인정보 국외이전 동의 : 국외 이전 시, 예를 들어 AWS 등 사용하는 경우
  • [필수] 고유식별정보 수집/이용 동의 : 운전면허번호, 외국인등록번호 등 수집하는 경우
  • [선택] 마케팅 광고 활용 동의
  • [선택] 제3자 제공동의: 제3자 제공 시

 

3. 주민등록번호여권번호, 운전면허번호처럼 자세한 개인정보도 수집할 수 있나요?

주민등록번호를 제외한 고유식별정보는 동의 받으면 수집할 수 있습니다.

개인을 식별할 수 있는 정보인 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호‘고유식별정보’라고 합니다.

 

‘개인정보 수집/이용 동의’와 별도로 동의를 받았다면 고유식별정보를 처리할 수 있습니다. 그렇지만, 주민등록번호는 법적으로 허용된 경우에만 처리할 수 있으며, 그 외에는 기업 차원에서 동의를 받더라도 처리할 수 없습니다.

 

또한, 고유식별정보는 저장 시 암호화 등 기술적 보호조치를 적용해야 합니다.

 

4. 모든 개인정보를 암호화해서 보관해야 하나요?

비밀번호, 고유식별정보, 바이오 정보는 암호화해야 합니다.

수집되는 개인정보(이름, 주소, 이메일주소, 핸드폰번호, 성별 등)는 모두 암호화해야 할 필요는 없으며, 법적 요건에 따라 필요한 항목만 암호화하면 됩니다. 다만, 회사에 따라 개인정보보호지침에 계좌번호, 신용카드번호 등 금융정보를 포함한 추가적인 항목을 암호화하도록 하는 경우도 있으니 내부 규정을 살펴보신 후 적용해야 합니다.

 

5. 14세 미만의 아동의 개인정보도 수집할 수 있나요?

동의 받으면 수집/이용할 수 있습니다.

(만 14세 미만 아동에게 서비스를 제한할 경우에는 수집하지 않습니다.)

만약 만 14세 미만의 아동에게 회원 가입을 허용하는 경우, 다음 사항에 따라 개인정보를 수집해야 합니다.

  • 만 14세 미만 아동으로부터 법정 대리인 정보를 최소한으로 수집할 수 있습니다. 법정대리인의 이름, 모바일 번호 등 최소한의 정보는 아동으로부터 직접 수집할 수 있습니다. 법정대리인과 연결돼 해당 개인정보의 수집/이용 목적이 달성되면 즉시 삭제해야 합니다.
  • 정당한 법정대리인’임을 확인하는 절차를 수립하고 적용해야 합니다. 법정대리인으로서 법적 권한이 부족한 사람(미성년자 등)이 될 수 있으므로 이를 검증할 수 있는 절차를 적용해야 합니다.

 

 

개인정보 위탁/제공/파기 시 주의 사항

1. 개인정보 처리를 위탁하고 싶은데 주의사항은?

개인정보 처리 위탁 사항을 개인정보처리방침에서 공개해야 합니다. 개인정보보호 담당자는 위/수탁사가 바뀔 때마다 주기적으로 확인해 개인정보처리방침을 개정해야 합니다.

또한, 수탁사가 위탁한 업무와 관련된 개인정보 처리가 적절하게 이뤄졌는지 연 1회 관리/감독해야 합니다. 따라서, 수탁사 유형과 처리하는 개인정보 중요도에 따라 현장 방문 점검 또는 설문지를 활용한 점검을 실시해야 합니다.

예를 들어, PC와 같은 기기로 개인정보를 처리하는 위탁사라면, 설문지 형태로 진행할 수 있습니다.

 

2. 이벤트를 열어 개인정보를 모았습니다. 다음에 그대로 사용해도 괜찮나요?

사용할 수 없습니다. 이벤트로 수집한 개인정보는 당첨자를 확정하고 경품이 배송되면 수집 이용 목적이 달성되었으므로 즉시 삭제해야 합니다. 만약, 삭제하지 않고 다음 이벤트 안내 목적으로 사용하고자 하면 사전에 동의 받아야 합니다.

 

3. 장기 미사용인 상태의 회원이 많은데 그냥 두어도 상관없나요?

홈페이지를 장기간 이용하지 않는 경우, 법률에 따라 휴면 회원으로 처리해 별도로 분리보관하거나 삭제해야 합니다.

휴면 회원으로 처리해 분리 보관한다면, 1년이 되는 시점으로부터 1개월 전에 휴면 회원 처리를 통보합니다. 1년이 되는 시점에는 별도로 분리 보관해야 합니다. 주의할 사항은 분리 보관된 휴면 회원 정보를 영구히 보관할 수 있는 것은 아니어서 일정 기간(자체적으로 기간 설정) 보관 후 삭제를 권고 드립니다.

최근에는 1년 후 분리 보관이 아닌 별도의 기간(2년, 3년, 5년 등)을 정해서 동의를 받고 보관하는 경우가 증가하고 있습니다.

 

 

기업에서 개인정보보호는 자칫 소홀하게 다뤄지기 쉬운 영역입니다. 사내 개인정보보호 전문가는 부족한 상황에서 비즈니스 개발, 웹/모바일앱의 개발, 인프라 구성이 우선시되는 환경에서 법적 요건을 지켜가는 건 어려운 일입니다.

오늘 소개한 사항을 준수하신다면 개인정보보호의 최소 요건을 갖출 수 있습니다.

 

 

홍성권 전문가의 또다른 #정보보호
중소 공장도 랜섬웨어, 피할 수 있어요! 읽기

 

홍성권
기업 정보보호 강화를 위한 퍼실리테이터(Facilitator)

現) 탤런트뱅크 전문가
前) (주)노르마 컨설팅본부 본부장/이사
前) EY한영회계법인 Advisory본부 Cyber Security 이사

회사의 핵심인 CEO와 임원진은 언제나 제대로 의사결정하고 있는지 고민합니다. ‘원포인트 레슨’은 탤런트뱅크 전문가들이 수십년간 실무를 경험하며 다듬어낸 인사이트를 제공합니다. 의사결정 파트너가 돼줄 전문가들의 핵심조언 한마디를 들어보세요.

 

기업의 비즈니스 고민, 검증된 전문가가 직접 해결합니다.
기업과 전문가 매칭 플랫폼, 탤런트뱅크

References
References
1 Web Shell, 서버 관리자 권한을 획득하는 해킹 방법
뉴스레터 구독
탤런트뱅크 프로젝트
기업의 비즈니스 고민,
검증된 전문가가 해결합니다.
프로젝트 의뢰
최신글
장성환 투자유치 전문가
“스타트업 투자자 연결 핵심은…”
이번 탤런트뱅크 전문가 Talk는 스타트업 투자 유치 및 해외 진출 분야의 저명한 멘토, 장성환 전문가와의 대화입니다. 장성환 전문가는 매년 200~300개 달하는 초기 스타트업을 만나 멘토링을 하고 계십니다. 초기 스타트업 창업자 및 코파운더들에게 자신의 가치를 알아줄 투자자를 만나는 일은 필수적인데요. 어떻게 하면 성공적으로 투자유치를 이끌 수 있고, 그 사이에서 전문가의 역할은 무엇인지 들어보았습니다.   탤런트뱅크 장성환 …
Read on
탄소중립2: 배출된 탄소를 자원으로 활용해봅시다
탄소중립 달성, 어떻게 해야 할까요? 탄소중립을 달성하려면 가장 먼저 탄소배출량을 줄여야 합니다. 탄소배출 저감방법은 다음과 같습니다:   파급 및 기대효과가 가장 큰 기술은 저탄소 발전기술, 수소경제, 대규모 해상풍력발전, 탄소중립 빌딩입니다. 신재생에너지는 지난 20년간 육성정책을 펼쳤지만 1차 에너지원 기준으로 겨우 3.4%를 달성했습니다. 태양광 발전은 더 이상 산을 파헤쳐 환경을 파괴할 수 없는 수준에 이르렀고, 앞으로 지붕 …
Read on
탄소중립1: 탄소국경세가 도입되면 수출이 줄어든다고요?
탄소중립이란? 탄소중립(Net-Zero)은 인간 활동에 의한 온실가스(이산화탄소, CO2) 배출을 최대한 줄이고, 배출된 온실가스를 흡수하고 제거해 추가 배출을 0으로 만드는 상태를 말합니다. UN 기후협약(UNFCCC)은 지구 온도 상승 범위를 1.5℃로 억제하기 위한 탄소중립 정책을 실행하라고 촉구하고 있습니다. 각 당사국은 ‘2050 탄소중립’을 위한 실행계획을 UN 기후협약에 제출해야 합니다. 협약 주요국인 미국과 EU는 탄소배출에도 국경세를 부과하겠다고 발표했으며, 이는 새로운 무역장벽으로 …
Read on
위로가기
아티클T는 탤런트뱅크의
검증된 전문가 콘텐츠 플랫폼입니다.
탤런트뱅크 바로가기
Talentbank articleT