[교육][보호위] 개인정보 처리자 입문

 

 

목차

 

 

< 개인정보 보호법 주요내용 >

1. 개인정보 보호법 개요

개인정보보호법은 모든 개인정보처리자가 지켜야 할 일반법이다.
살아있는 개인을 알아볼 수 있는 정보는 개인정보에 해당하며, 이름·연락처·주민등록번호뿐 아니라 다른 정보와 쉽게 결합 가능한 정보도 포함한다.

개인정보는 정해진 목적과 최소한의 범위 내에서 수집하고, 정확성 유지와 안전한 보호가 필요하다.
정보주체에게는 자신의 정보 처리 여부를 확인하고 통제할 수 있는 권리가 부여된다.

2. 개인정보 보호법 개정 내용

2023년 9월 개정된 개인정보보호법은 정보주체의 권리 보장과 디지털 환경 대응을 중심으로 이루어졌다.

주요 개정 내용은 다음과 같다.

• 자동화된 결정에 대한 설명 요구권 신설
• 개인정보 전송 요구권 명확화
• 가명정보 처리 범위 구체화
• 국외 이전 요건 다양화
• 재수탁자 포함 책임 강화
• 공공기관의 목적 외 이용 시 심의 절차 의무화

3. 개인정보의 처리 주요 내용

개인정보 수집·이용은 원칙적으로 정보주체의 동의를 받아야 한다. 다만, 법령 근거, 계약 이행, 급박한 생명·재산 보호 등 예외가 있다.
수집 시에는 목적, 항목, 보유기간, 동의 거부 시 불이익 등을 고지해야 한다.

제3자 제공은 정보주체 동의가 필요하며, 제공받는 자·목적·항목·보유기간 등을 명확히 밝혀야 한다.
민감정보와 주민등록번호는 원칙적으로 처리 금지이며, 법령에 근거하거나 명시적 동의가 있어야 한다.

가명정보는 통계, 연구, 기록보존 등 공익 목적에 한해 동의 없이 처리 가능하다.

4. 개인정보의 안전한 관리

개인정보는 분실, 유출, 위조, 훼손 등에 대비해 기술적·관리적·물리적 보호조치를 이행해야 한다.
보유기간이 끝났거나 처리 목적이 달성된 경우에는 지체 없이 파기해야 하며, 복구 불가능한 방식으로 삭제한다.

영상정보처리기기(CCTV)는 목적이 정당할 때만 설치·운영 가능하며, 공개된 장소에서는 안내문 등으로 촬영 사실을 알려야 한다.

업무 위탁 시 수탁자와 재수탁자까지 관리·감독 책임이 있으며, 위탁 사실과 내용을 공개하고 안전조치를 보장해야 한다.

5. 정보주체의 권리 보장 및 피해 구제

정보주체는 자신의 개인정보에 대해 다음과 같은 권리를 가진다.

• 처리 여부 확인 및 열람
• 정정·삭제 요청
• 처리 정지 요구
• 동의 철회
• 자동화된 처리에 대한 설명 요구
• 전송 요구

또한, 개인정보 침해로 인한 피해 발생 시 손해배상을 청구할 수 있으며, 분쟁조정 및 단체소송 제도를 통해 구제를 받을 수 있다.

 

< 개인정보의 안전한 관리와 법해석 사례 >

1. 개인정보 수집이용 동의서 검토

PIP교육진흥원의 개인정보 수집이용 동의서는 회원가입 및 자격시험 관리를 위한 것이다.
그러나 기존 동의서에는 다음과 같은 문제점이 있다.

• 주민등록번호 수집 근거 미고지
• 과도한 정보 수집
• 보유기간 임의 설정
• 제3자 제공 고지 및 동의 누락

개선된 동의서에서는 필수·선택 항목을 구분하고, 수집 목적과 항목을 구체화하며, 법령에 근거한 고지 문구를 명확히 표기한다.
또한 이메일 안내 수신 여부는 선택 동의로 처리하고, 자격시험 관련 정보는 보유 기간과 제공 기관을 명시하여 동의받는다.

2. 개인정보의 안전한 관리와 주요 조치사항

개인정보처리자는 내부관리계획을 수립하고 안전성 확보 조치를 취해야 한다.

• 접근권한 관리: 최소 권한 설정, 부여·변경·말소 기록 3년 보관
• 인증수단 관리: 비밀번호 외 생체정보 등 안전한 인증방식 적용
• 접근통제: 외부 접근 차단, 세션타임아웃, 공유 제한 설정
• 암호화 조치: 주민등록번호, 계좌번호 등 민감정보는 안전한 알고리즘으로 암호화
• 망 분리: 대규모 개인정보를 다루는 경우 인터넷망 차단 조치 적용
• 접속기록 관리: 1년 이상 보관, 월 1회 이상 점검 및 위변조 방지
• 유출 대응: 유출 사실 확인 시 72시간 내 통지·신고 이행
• 공공기관 특례: 고위험 공공시스템 운영 시 관리책임자 지정, 접속기록 점검 의무 강화

3. 개인정보 보호법 법령 해석 사례

① 고객만족도 조사 시 동의 없이 개인정보를 활용할 수 있는지
→ 민간은 계약 이행 목적일 경우 동의 없이 가능, 공공은 법령 근거로 가능

② SNS 계정으로 수집한 개인정보를 동의 없이 이용하는 경우
→ 별도 동의 없이는 제3자로부터 제공받는 정보 활용 불가

③ 교수 정보(이름, 학력 등)를 유료로 제공하는 행위
→ 공개된 범위 내에서는 별도 동의 없이 제공 가능

④ 순찰직원 성명·위치 공개 게시
→ 개인 식별이 가능하므로 최소한의 비식별 처리 필요

⑤ 주민등록증 정보 일부 수집 가능 여부
→ 생년월일, 발행일, 사진 등은 동의받아 수집 가능, 주민등록번호는 제한됨

⑥ 내부 감사 목적의 직원 개인정보 수집
→ 공공기관은 법에 따라 가능, 민간은 직원 동의 필요

4. 개인정보 관련 법령 및 가이드라인

개인정보 처리방침에는 아래 사항을 포함하여 인터넷 홈페이지에 상시 공개해야 한다.

• 처리 목적 및 보유기간
• 수집 항목
• 제3자 제공, 위탁, 파기 기준
• 가명정보·행태정보 처리 사항
• 정보주체의 권리 및 행사 방법
• 안전성 확보 조치 내용
• 보호책임자 연락처 및 열람청구 방법
• 변경 시 공지 내용 등

또한, 5만 명 이상의 민감정보 파일을 구축하거나
기존 시스템과 연계해 50만 명 이상 정보주체의 개인정보가 포함되는 경우 개인정보 영향평가를 수행해야 한다.

 

< 개인정보 유·노출 사례 및 대응방법 >

1. 개인정보 유·노출 개념 및 현황

개인정보 '유출'은 권한이 없는 자에게 개인정보가 노출되거나 접근이 허용된 경우를 말한다.
예: 해킹, 이메일 오발송, 저장매체 분실 등

개인정보 '노출'은 누구든지 접근 가능한 홈페이지 등에 개인정보가 올라와 유출로 이어질 수 있는 상태를 의미한다.
예: 게시글, 댓글, 첨부파일에 개인정보 포함

유출 주요 원인은 해킹(58%), 업무과실(33%), 고의유출(6%) 등이다.
홈페이지 상 노출은 관리자 부주의(79%)가 가장 큰 원인이다.

2. 개인정보 노출 사례 및 조치

개인정보 노출은 주로 게시글, 댓글, 첨부파일, 엑셀 파일, 한글문서 등에 의해 발생한다.

• 게시글에 개인정보를 직접 입력한 경우
• 엑셀 시트·행·열·메모에 개인정보가 숨겨져 있는 경우
• 치환 함수 해제로 마스킹이 풀린 경우
• 외부파일 참조, OLE 객체, 한글파일에 포함된 경우
• 관리자 페이지 접근 통제 미흡, URL 설계 오류, 소스코드 노출 등

조치 방법

• 비공개 게시판 운영, 작성 가이드 제공
• 마스킹 처리, 외부참조 제거, PDF 변환 권장
• 관리자 페이지 접근 제한(IP·인증·VPN)
• URL 암호화(GET→POST), 소스코드 보안
• 임시 저장 페이지 자동 삭제
• 디렉터리 리스팅 차단 등 서버 설정 보완

3. 개인정보 유출 사고 조치 및 책임

개인정보 유출이 발생하면 72시간 이내 정보주체에게 통지하고, 일정 기준에 따라 신고해야 한다.

통지 기준

• 유출 사실을 알게 되었을 경우 (1건 이상)
• 민감정보, 고유식별정보 유출
• 해킹 등 외부 침해 발생

통지 항목

• 유출 항목, 시점과 경위
• 정보주체 대응 방법
• 처리자 조치 및 피해 구제
• 신고·문의 연락처

신고 요건

• 1천명 이상 유출
• 민감/고유식별정보 유출
• 해킹에 의한 유출

신고는 개인정보보호포털에서 가능하며, 유출 통지문은 공식 서식을 따르되, 진정성과 책임 의식이 드러나도록 작성해야 한다.

4. 개인정보 노출 자가 점검 방법

검색엔진을 활용하여 자사 홈페이지나 문서에서 개인정보가 노출되어 있는지 자가 점검할 수 있다.

검색어 예시

• 주민등록번호, 여권번호
• 이력서 filetype:xls
• 회원명단 filetype:xls
• 학생명단, 교육생 명단 등

검색 팁

• "검색어" : 정확한 문구
• filetype:xls, site:도메인 : 특정 확장자, 사이트 대상
• inurl:, intitle: : URL 또는 제목 포함 검색

노출 시 조치 방법

1. 홈페이지 내 게시물 삭제
2. 검색엔진 캐시 페이지 삭제 요청
   Daum 권리침해신고
   Naver 고객센터
   Google 삭제 요청

각 포털별로 캐시 삭제 방법이 다르므로 안내에 따라 URL, 이유, 이메일 등을 입력하여 신청한다.