개인정보 유출 사고, '안전 조치' 위반 사례 가장 많았다

입력 2023-05-07 12:00

  • 작게보기

  • 기본크기

  • 크게보기

2022년 신고 사례 중 66% 가량 해당
접근 금지·개인정보 암호화 문제 소홀
"최근 코딩 과정 공개·유출 신고 많아"
개인정보 보호 지속·현실적 노력 필요

▲2022년 신고된 개인정보 유출 사고 중 '안전조치' 위반 사례가 가장 많았다. (사진 제공= 한국인터넷진흥원)

최근 통신사, 소셜네트워크서비스(SNS), 대학 등에서 개인정보 유출 사고가 끊이지 않고 있다. 이 가운데 지난해 신고된 개인정보 유출 사례 중 접속 기록 보관, 인증 오류 등 '안전 조치'를 위반한 사례가 가장 많은 것으로 나타났다.

7일 한국인터넷진흥원(KISA)에 따르면 2022년 신고된 개인 정보 유출 사고 중 가장 많은 비중을 차지한 위반 유형은 '안전 조치'로, 전체 사고의 66%에 해당한다. 그 다음으로 많은 유출사고 유형은 유출 통지, 미파기, 동의, 열람 순으로 나타났다.

개인정보 안전 조치란 접근 권한을 관리하고, 개인정보를 암호화했는지 살펴보는 것을 의미한다. 안전조치 의무 위반 사고 중에서는 저장·전송 시 암호화를 지키지 않는 경우가 가장 많았다. 그 다음으로는 접속기록 보관·점검, 공개·유출 방지 조치, 접근권한 관리, 안전한 접속·인증수단, 시스템 설치·운영 순서대로 뒤를 이었다.

특히 공개·유출 방지 조치를 어긴 사고에서는 코딩 과정에서 일어나는 사례가 많았다. 차윤호 한국인터넷진흥원 개인정보조사단 단장은 "최근 들어온 공개·유출 신고 상당 부분은 개발 과정에서 설정, 인증 오류가 있다"며 "시큐어 코딩을 하고, 개발과 적용 과정에서 설정, 인증 오류와 사전 테스트 등을 해야 한다"고 말했다.

중소기업 등 영세한 사업장에서는 정보통신망을 통한 불법적인 접근 및 침해 사고에 취약한 것으로 드러났다. 차 단장은 "중소기업의 경우 특히 관리자 페이지에 접속할 때 IP 주소로 접속 제한을 하지 않아, 아이디 패스워드만 유출되면 개인정보가 유출되는 사례가 발생하고 있다"고 설명했다.

이를 해결하기 한국인터넷진흥원에서 영세기업 개인정보 컨설팅을 받을 수 있다. 나은아 한국인터넷진흥원 개인정보정책단 단장은 "영세 기업이라 하는 종사자 50인 미만의 기업들에 대해 연간 50건 정도 컨설팅을 진행하고 있다"며 "자율 규제라는 제도를 통해 소속사 회원들을 지원하고 있다"고 설명했다.

개인정보 유출 사고 판례를 보면 과거보다 처리자의 책임이 커진 것으로 나타났다. 차 단장은 "과거에는 법원에서 개인정보 안전성 확보 기준과 조치 기준을 잘 지켰으면 처리자의 의무를 다 했다고 바라봤다"면서 "최근에는 안전성 확보를 위해 최소한의 기준을 정한 것으로, 처리자가 이에 접근해야 한다"고 말했다.

과거보다 지속성, 현실성, 합리성에 대한 중요성도 커졌다. 개인정보 보호 조치 이행을 한 번에 그치는 게 아니라 지속적으로 설계에 반영된 보안 기술의 적정성을 검증하고 개선 조치를 실시해야 한다는 의미다. 이상행위에 대한 탐지와 대응 등 실질적인 활동도 요구된다. 또, 사회통념상 기대 가능한 정도의 기술적 보호조치를 해야 한다.

챗GPT와 관련한 개인정보 유출 대책 방안 상반기 중으로 마련될 예정이다. 차 단장은 “개인정보보호위원회와 함께 챗gpt에 개인정보 침해 위기 관련해 처리 단계별로 어떤 부분에 있어서 수립되는지 대책 방안을 수립해 발표할 것”이라고 말했다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소