학교 등이었다. 2014년 3월에 TM 업체에 고용된 해커가 자신의 아이디로 통신사 홈페이지에 로그인한 후, 파로스 해킹 프로그램을 이용하여 개인정보를 수집하였다. 무단 수집은 3개월간 약 1,300만 번이 이루어졌지만 통신사 측은 전혀 알지 못했으며, 해커는 이렇게 수집된 개인정보를 TM 업체에 판매하는 등 금전적 수단으로 악용하였다.
7) 일본 야후BB 개인정보 유출
2003년 일본 야후BB 고객 약 451만명의 정보 유출사고가 발생했다. 이에 일본 야후에서는 전체 고객에 대한 사과 표시로 상품권을 지급하였다(총 40억엔 소요). 2006년 5월 일본 오사카 지방법원은 아후BB 측의 보안조치 소홀을 인정하여, 1인당 6천엔 손해배상을 결정하였다.
8) Choice Point 신용정보회사 고객정보 유출
미국 Choice Point 신용정보회사는 14만명의 고객정보 유출 사고가 있었다. 2006년 1월 미국연방거래위원회는 개인정보 취급에 대한 소비자 권리침해 등을 이유로 1천만 달러 벌금 및 5백만 달러 손해배상(총 140억원)을 결정하였다. 동 금액은 미국 연방거래위원회 사상 최고액으로 1인당 $107를 배상하였다.
6. 개인정보보호 대책방안
① 개인정보 실천 생활화를 위한 대국민 인식제고 및 홍보 강화
- 금융, 보건, 의료 등 분야별 특성을 고려한 국민생활 밀착형 개인정보 인식제고 캠페인 및 대국민 참여 이벤트 추진할 수 있다.
- TV, 신문, 인터넷, 모바일, SNS 등 다양한 매체를 활용한 세대별, 대상별 눈높이 광고 실시할 수 있다.
- 공모전 등을 통해 개인정보 실천을 유도하기 위한 아이디어, 홍보물 등 발굴 및 신고 포상제도 활성화를 통한 국민참여도를 제고할 수 있겠다.
② 정보주체 대상별 맞춤형 개인정보 보호 교육 강화
- 초·중등생의 학생 눈높이에 맞춘 개인정보 보호 교육 교재 개발·교육시행 및 개인정보 활용 가이드 보급 추진해야 한다.
- 개인정보 보호 제도·환경 변화에 따라 교직원 대상별 교육을 시행하고 학부모 대상 강연 등을 통한 교육 강화해야 한다.
- 주부, 노년층 등 취약계층의 개인정보 인식제고를 위한 맞춤형 교육과정 운영 및 교육 콘텐츠 개발 보급이 필요하다.
③ 개인정보 보호 조직 예산 등 관리체계 강화
개인정보 보호 인력 및 예산의 적정기준 개발 및 확보 유도해야 한다. 또한 중소 및 영세 사업자 대상 개인정보 보호 컨설팅 및 기술 지원해야 할 것으로 사료된다.
④ 필요 최소한의 개인정보 수집 생활화
- 분야별 서비스 제공에 필수적인 개인정보 수집 기준을 제시하여 필요 최소한의 개인정보만 수집하는 개인정보 보호 문화를 정착해야 한다.
- 주민등록번호 수집·이용에 관한 근거법령 정비를 지속적으로 추진하고, 불법적인 주민등록번호 수집·이용에 대해서는 처벌 강화해야 한다.
⑤ 개인정보 보호의 원칙 확립 및 관련 법령 간 정합성 제고
일반법과 개별법 간 중복규제 해소 및 정합성 확보를 위한 법체계 정비해야 한다. 기존 모든 법령들에 대해 개인정보 보호에 관한 위배·불합치 조항을 전수 점검 및 개선권고 추진해야 한다.
⑥ 스마트폰 보안 대책
스마트폰 사용 환경에 있어 개인정보보호를 위한 제도 개선 스마트폰을 통해 발생되는 2차 피해를 예방하고 최소화하기 위해 스마트폰이 안전하지 않다는 가정 하에 기본 사양에 모든 보안기능을 설정하여 출고하도록 하고, 사용자가 추후에 상시변경 가능하도록 해야 한다. 예를 들어, 발신번호에 대한 정보를 제공해주는 앱 및 입출금 내역을 알려주는 앱 등을 기본으로 탑재하는 방법이 있을 수 있다. 이처럼 보안기능 및 도구 사용을 의무화하는 제도를 도입하는 등 스마트폰 사용 환경에 대한 개선이 필요하다. 더불어 사용자들이 스마트폰 사용 환경에 대해 명확히 인지할 수 있도록 구체적인 안내 및 가이드라인을 마련해야 한다.
⑦ 홈페이지 해킹 방어 대책
- 사용 중인 OS 등 소프트웨어에 대한 최신 보안 업데이트 상시 적용해야 한다.
- 홈페이지 개발 시 시큐어코딩 사용, 개발된 홈페이지의 경우 주기적인 웹취약점 분석해야 한다.
- 방화벽 등 보안장비의 보안정책을 주기적으로 점검 및 최신 이슈사항 반영해야 한다.
- 송신자가 명확하지 않은 메일 열람 금지, 블로그 등에서 받은 프로그램 실행 금지해야 할 것이다.
⑧ 빅데이터 관련 대책
빅데이터의 경우 방대한 정보의 분석을 통한 새로운 효용창출이 중요한 목적이나, 이로 인해 개인정보 보호법과 상충되는 부분이 나타날 수 있는 것이다. 이런 문제를 해결하기 위해서는 기업 스스로가 이용자 데이터 등 빅데이터를 활용 시 식별 가능성이 있는 데이터는 사전에 삭제하는 등 이용자 프라이버시 보호를 위한 자발적인 노력이 있어야 한다.
⑨ 사업자는 개인정보보호 실태에 대한 정기적인 감사 실시해야 한다.
사업자는 개인정보보보 실태에 대한 감사절차를 마련하여 정기적으로 감사를 실시해야 한다. 그리고 감사 결과에 따라 개인정보 보호 체계에 대한 재평가 및 개선사항을 이행해야 한다.
【 참고자료 】
개인정보보호위원회(2015)「개인정보 오남용·유출 2차 피해 최소화 방안」
고형석(2011)「개인정보 침해와 피해구제에 관한 연구」법조협회 6(1)
김진환(2014)「개인정보 보호의 규범적 의의와 한계」저스티스, 제144호
김진환(2014)「개인정보 보호조치 위반 사건 수사의 문제점과 대책」고려대학교 정보경영공학전문대학원 석사학위논문
박수황,장경배(2016)「개인정보 유출 사례 분석 및 시사점」보안공학연구논문지
박정섭,이응재,양효진,박세형,김수빈(2016)「개인정보 보호 제도의 중장기 발전 방향」한국인터넷진흥원 개인정보정책단
염기남(2013)「개인정보보호제도 운영실태와 개선방안에 관한 연구」전북대학교 행정대학원 석사학위논문
유정각,송주민(2011)「개인정보 유출 관련 판례 및 금융권 시사점」금융결제원
최경진(2012)「빅데이터 환경에서 개인정보보호 강화를 위한 법·제도적 대책 방안 연구」개인정보보호위원회
행정안전부(2017)「안전한 개인정보 관리를 위한 실태점검 길라잡이」2017년 제3차 CPO 워크숍
행정안전부(2018)「2013~2017 개인정보 실태 점검 및 행정 처분 사례집」