http://blog.naver.com/it-is-law/221086508778 http://blog.naver.com/it-is-law/221087276870 연이은 포스팅을 통해, 최근 있었던 남양유업 홈페이지 회원정보 유출사건 같은 ‘개인정보 유출사고’가 발생할 경우 해당 사업자들이 어떻게 대처해야 하는지에 대해 알려드렸었죠. 지난해 온라인쇼핑몰 인터파크가 해킹당해 2천만건의 개인정보가 유출되는 사건이 발생한 후, 방송통신위원회와 한국인터넷진흥원은 개인정보 유출사고 발생 시 피해를 최소화하기 위해 사업자가 준수해야 할 사항을 담은 「개인정보 유출 대응 매뉴얼」을 발표했는데요. 그간 개인정보 유출사고 발생 시 이용자 통지 및 관계기관 신고가 지연되어 초기 대응에 한계가 있다는 지적이 제기됨에 따라, 사업자에게 사고 직후 신속히 대응할 수 있는 방향을 제시하기 위해 본 매뉴얼이 마련된 것입니다. 이에 사업자는 매뉴얼을 참고하여 자사 상황에 맞는 「사업자 개인정보 유출 대응 매뉴얼」을 마련하고, 세부적인 대응절차 및 대책을 수립·시행하여야 합니다. 만약 사고가 발생했음에도 개인정보 유출 통지의무나 조치 결과 신고의무 등 매뉴얼에서 정한 의무사항을 준수하지 않는다면 과태료가 부과되므로, 사업자는 매뉴얼을 반드시 준수할 필요가 있는데요. 대응절차는 크게 1. 개인정보 유출 신속대응팀 구성·운영 ☞ 2. 유출원인 파악 및 추가유출 방지조치 ☞ 3. 개인정보 유출 신고 및 통지 ☞ 4. 이용자 피해구제 및 재발방지 대책 마련 단계로 이루어지는 바, 간단히는 내부팀 구성 ☞ 원인 파악 ☞ 신고 및 통지 ☞ 피해구제의 순서라 할 수 있습니다. 특히 그중 ‘개인정보 유출 신고 및 통지’는 추후 사업자가 얼마나 성실히 대응했는지 평가하는 데 가장 핵심적인 잣대라 할 수 있습니다. 매뉴얼에서는 사업자가 개인정보 유출 사실을 알게 된 경우, 즉시(24시간 이내) 해커 등 유출자 검거를 위해 경찰청 사이버수사국에 수사 요청하고, 과학기술정보통신부·한국인터넷진흥원에 침해사고 신고 및 방송통신위원회·한국인터넷진흥원에 개인정보 유출 신고를 하도록 정해져 있는데요. 따라서 경찰청(사이버안전국) 수사 요청, 과학기술정보통신부·한국인터넷진흥원(인터넷보호나라) 침해사고 신고, 개인정보 유출 통지에 이르기까지 세부적인 개인정보 유출 신고 및 통지 절차를 미리 숙지해놓는다면, 유사시 체계적으로 대응함으로써 과태료 부과 대상에서 제외됨은 물론 이용자와 일반 국민의 비판도 어느 정도 비껴갈 수 있을 것입니다. http://www.dt.co.kr/contents.html?article_no=2017082302100451037001&ref=naver 이어지는 오늘 포스팅에서는, 매뉴얼에서 정한 마지막 절차인 「이용자 피해구제 및 재발방지 대책 마련」에 대해 상세히 알아보는 시간을 갖도록 하겠습니다. 방송통신위원회는 지난달 있었던 대통령 주재 업무보고 정책토론회에서 통신서비스 분쟁조정제도를 연내 도입, 분야별 맞춤형 피해구제 기준을 개발하여 이용자가 신속하고 편리한 피해구제를 받을 수 있도록 도울 것이라 밝혔습니다. 이는 사물인터넷(IoT) 등 4차 산업혁명 시대의 새로운 정보통신기술(ICT)이 쏟아짐에 따라 개인정보 유출과 관련된 국민 불안이 커지는 것을 막기 위한 조치인데요. 아무리 철저히 대비한다고 해도 산업 발전에 따라 유출 사고 역시 필연적으로 늘 수밖에 없겠죠. 따라서 사업자로서는 매뉴얼에서 정한 「이용자 피해구제 및 재발방지 대책 마련책」에 대해 상세히 알아둠으로써 분쟁을 미연에 방지할 필요가 있습니다. [이용자 피해구제 및 재발방지 대책 마련 절차] 1. 개인정보 유출 사고 전파 개인정보 침해 발생을 인지한 경우 임직원 및 이해관계가 있는 사업자에게 개인정보 유출 상황을 전파하여 유사 피해가 발생할 수 있음을 전파해야 합니다. 전파 시에는 한국인터넷진흥원과 협의를 통해 기 구축되어 있는 사업자 핫라인을 활용할 수 있습니다. 2. 이용자 피해구제 및 관련 민원 대응 강화 (1) 이용자 개인정보 유출 문의에 신속히 대응할 수 있도록 스크립트와 유출통지문을 작성하고 필요시 이용자 상담 회선을 증설해야 하며, 전화, 이메일, 홈페이지, SNS 등 다양한 채널을 통해 이용자의 개인정보 유출사실, 유출경위를 확인할 수 있는 창구를 마련해야 합니다. (2) 이용자에게 피해발생에 따른 구제절차를 안내하고, 이용자의 요청이 있는 경우에는 별도의 ‘개인정보 유출 확인서’ 발급 절차를 운영해야 합니다. 이때 개인정보보호위원회에 설치되어 있는 개인정보 분쟁조정위원회를 통한 개인정보 유출 분쟁조정절차가 있음을 안내해야 하며, 아울러 법정손해배상제도, 징벌적 손해배상제도 등 민사소송을 통해 피해구제 절차를 진행할 수 있음을 안내해야 합니다. (3) 개인정보 유출로 인해 이용자에게 보이스피싱, 파밍 등 추가 피해가 발생할 수 있으므로 피해 방지를 위한 유의사항을 안내해야 합니다. 이때 금융감독원과 경찰청이 합동으로 운영하고 있는 보이스피싱 지킴이 홈페이지의 대처요령을 참조하여 안내할 수 있습니다. http://phishing-keeper.fss.or.kr/fss/vstop/main.jsp 3. 유출 원인분석 및 재발방지 대책 마련 (1) 개인정보 유출 원인에 맞는 대책을 마련하고 유사 사고 재발 방지를 위한 개인정보보호교육을 실시해야 합니다. 또한 개인정보 유출사고 시나리오 작성 및 모의훈련을 실시하여 개인정보 유출 대응체계를 점검해야 합니다. (2) 홈페이지의 취약점을 연 1회 이상 정기적으로 점검해야 하며, 중소기업의 경우에는 한국인터넷진흥원에서 제공하는 웹 취약점 점검 서비스를 이용할 수 있습니다. https://www.boho.or.kr/webprotect/webVulnerability.do (3) 유출사고로 인해 드러난 취약점을 반영하여 사내 개인정보 취급자 전원을 대상으로 개인정보보호 및 정보보호 인식 제고 교육을 실시해야 합니다. https://www.i-privacy.kr/servlet/command.user4.study.StudyLecturePersonal01 (4) 개인정보가 인터넷 상에 노출되는 것을 방지하기 위해 검색엔진의 로봇배제 규칙을 적용하여 홈페이지 접근을 제한하고, 홈페이지에 첨부파일을 포함한 게시글 작성 시 개인정보 포함여부를 확인하여야 하며, 이용자에게 게시글 작성 시 개인정보가 노출되지 않도록 주의할 것을 안내하고, 관리자 페이지에 접근하는 IP제한 또는 VPN 등 안전한 접속수단을 사용해야 합니다. 유럽연합(EU)이 2018년 5월 25일부터 시행하는 「일반 개인정보보호규정(GDPR)」에는, 정보주체의 개인정보를 보호하기 위해 '컨트롤러'(개인정보처리자) '프로세서'(개인정보수탁자)에게 다양한 개인정보보호 의무를 부과하고 경우에 따라 글로벌 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액을 과징금으로 부과하는 강력한 제재조치가 도입됩니다. 이러한 세계적 흐름에 발맞춰 국내에서도 개인정보보호와 빅데이터 활용에 따른 편익을 균형 있게 다룰 법제도를 마련하자는 분위기가 형성되고 있으며, 그 가이드라인으로 GDPR이 제시되고 있어 앞으로 우리나라에서도 법 위반 사업자에 대한 강력한 제재조치가 도입될 가능성이 높은데요. 한 비교예시로, 우리나라 개인정보보호법은 현재 통지의무 위반에 대해 3천만 원 이하의 과태료를 부과하고 있지만, GDPR은 통지의무 위반에 대해 전 세계 매출액의 2% 또는 최대 1천만 유로 중 더 높은 금액의 과징금을 부과하도록 규정하고 있습니다. 따라서 사업자들은 향후 예상되는 제재조치 강화에 미리 대비해야 할 것입니다. 연이은 포스팅을 통해 설명해드린 것처럼 해킹으로 인한 개인정보 유출시 공공기관의 각종 기술지원을 받을 수 있습니다. 유사시 신속한 신고를 통해 대응하시기 바라며, 개인정보보호법 제34조제1항에 규정된 개인정보 유출 통지의무 위반 시 3천만 원 이하의 과태료, 제34조제3항에 규정된 조치 결과 신고의무 위반 시 3천만 원 이하의 과태료가 부과되는 등 각각의 대응조치를 얼마나 충실히 수행하느냐에 따라 추후 방송통신위원회 과징금·과태료 세부 부과 금액이 결정되므로 「개인정보 유출 대응 매뉴얼」을 반드시 준수하여 대응하시기 바랍니다. | 
