법원의 판례로 살펴본 개인정보 보호조치 의무 위반 판단기준 5가지
3가지 쟁점은 공개·유출 방지 조치, 침입차단·탐지 시스템 설치 및 운영, 안전한 접속·인증 수단 적용 여부

[보안뉴스 박은주 기자] 지난 1월 모 대기업에서 개인정보 유출사건이 발생했다. 이 사건으로 30만 건에 달하는 개인정보가 유출됐다. 지난달 17일에는 강원도 소재의 한 대학교에서 학생 1,214명의 이름과 주민등록번호가 유출되는 사건이 벌어졌다. 이처럼 크고 작은 개인정보 유출사건이 계속 발생하고 있다.

[보안뉴스 /5.7.] 개인정보 유출사고, 법원의 ‘개인정보 보호조치’ 판단 기준은?

[이미지=utoimage]

개인정보 유출사고가 발생하는 이유 가운데 개인정보 관련 법령을 따르지 않은 경우, 개인정보 처리자의 의사와 무관하게 개인정보에 대한 통제권을 잃거나, 권한 없는 접근이 이뤄졌을 때를 말한다. 개인정보보호 수칙은 개인정보의 안전성을 확보하기 위한 최소한의 기준이다. 개인정보보호를 위해서는 내부 관리계획 수립 및 시행, 접근권한 관리 등 안전성을 확보하기 위한 조치가 마련돼야 한다. 또한, 접근통제, 접속기록 위·변조 방지, 개인정보 암호화, 악성 프로그램 방지 등 기술적·관리적 보호를 위한 조치 기준도 필요하다.

법원에서 개인정보 보호조치 의무 위반을 판단하는 여러 기준이 있다. 그동안의 판례를 살펴보면 5가지 기준을 특정할 수 있었다.

1. 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준을 갖추고 있나
2. 업종, 영업 규모와 취하고 있는 전체적인 보안조치의 내용이 합당한가
3. 정보보안에 필요한 경제적 비용 및 효용의 정도가 알맞은가
4. 해킹 기술의 수준과 보안기술의 발전 정도에 따른 피해 발생 회피 가능성이 있었나
5. 수집한 개인정보의 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치가 마련됐나

KISA와 개인정보보호위원회의 조사결과 지금까지 발생한 개인정보 유출사건의 안전조치 위반유형은 전송 시 암호화 25%, 접속기록 보관·점검 22%, 공개 유출 방지조치 19%, 접근권한 관리15%, 안전한 접속 인증 수단 13%, 시스템 설치 운영 6%로 드러났다.

[보안뉴스 /5.7.] 개인정보 유출사고, 법원의 ‘개인정보 보호조치’ 판단 기준은?

▲KISA 차윤호 단장이 개인정보 보호사항의 주요 쟁점을 설명하고 있다[사진=KISA]

특히, KISA의 개인정보조사단 차윤호 단장은 개인정보 보호사항과 관련된 쟁점으로 △공개·유출 방지 조치 △안전한 접속 인증 수단 △침입차단 탐지 시스템 설치와 운영 이렇게 3가지를 강조했다.

쟁점 1. 공개·유출 방지 조치
개인정보 유출사고는 해킹처럼 불법적인 외부 접근과 내부자에 의해 발생한다. 이에 사고를 방지할 내·외부적 조치가 마련돼야 한다. 기본적으로 개인정보를 열람할 수 있는 권한이 없는 자의 접근을 차단하고, 외부로 유출되지 않도록 해야 한다.

개인정보는 인터넷 홈페이지, P2P, 공유 설정 등을 통해 유출될 수 있다. 개인정보처리 시스템은 데이터베이스 전체를 의미한다. 따라서 개인정보의 처리 과정에 관여하는 웹서버뿐만 아니라 개인정보를 취급하는 직원의 컴퓨터와 모바일 기기에도 적절한 보호조치가 필요하다.

또한, 지속적으로 설계에 반영된 보안 기술의 적절성 검증이 필요하다. 웹 취약점을 점검하고 개발하는 과정에서 소프트웨어가 복잡해지게 된다. 이때 새로운 보안 취약점이 발생할 수 있다. 이를 예방하기 위해 취약점을 보완하는 사전조치인 ‘시큐어코딩’이 필요하다. 더불어 개발·적용 과정에서 설정 오류 및 인증 오류 체크, 사전 테스트 등을 거쳐야 한다.

쟁점 2. 침입차단·탐지 시스템 설치 및 운영
정보통신망을 통한 불법적인 접근을 막고 침해사고를 예방하기 위한 조치가 필요하다. 개인정보처리 시스템에 대한 접속권한을 IP 주소 등으로 제한해 인가되지 않은 접근을 통제해야 한다. 개인정보처리 시스템에 접속한 IP 주소 등을 분석해 유출 시도를 탐지할 수 있는 시스템을 설치 및 운영해야 한다. 이 뿐만 아니라 로그 분석, 정책 설정 운영, 이상 행위 대응 등의 기능이 충족되도록 체계적인 운영·관리가 요구된다.

이와 관련 차윤호 단장은 “시스템 공격을 차단할 수 있는 합리적인 기대수준에 부응한다면 꼭 유료이거나 인증받은 제품이 아니어도 된다”며 “보안사항이 유효한 제품을 사용하고 체계적인 운영과 관리가 필요하다”고 말했다. 이와 더불어 “크리덴셜 스터핑 차단, 하나의 IP에서 동일한 방법으로 대량 조회, 관리자 페이지 접속 제한 등이 이뤄져야 외부의 침입을 막을 수 있다“고 말했다.

쟁점 3. 안전한 접속·인증 수단 적용
개인정보취급자가 외부에서 정보통신망을 통해 개인정보처리 시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용해야 한다. 이때, 개인정보를 취급하는 사람은 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 직원을 말한다. 임직원, 파견근로자, 시간제근로자 등 근무형태는 물론 고용관계도 필수적인 사항으로 보지 않는다.

예를 들어 개인정보처리 시스템에 대한 개인정보 취급자의 접속이 일정 시간 동안만 유지되도록 할 수 있다. 정해진 시간이 지나면 자동으로 연결이 종료되는 설정을 말한다. 접속이 종료돼 재 접속할 때는 처음 접속한 방법과 동일하게 접속하도록 조치해야 한다. 더불어 계정탈취 예방을 위해 아이디/비밀번호 관리, 다중인증(MFA), VPN 또는 전용선, 클라우드 계정 보안, 화면 보호기 등을 활용할 수 있다.

한편, 차윤호 단장은 “앞으로 개인정보위와 함께 오픈 AI와 관련한 사항을 다룰 예정”이라며 “챗GPT와 같은 오픈 AI로 발생할 수 있는 개인정보 유출 우려에 대한 대안을 마련해 갈 것”이라고 말했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>