개인정보 유출 시 신고 및 대응 방법을 알기 쉽게 설명합니다.

기업의 개인정보 유출은 고객 정보를 다루는 모든 기업에게 그 위험성이 있습니다. 유출 사고 자체를 제로화하기는 어렵기 때문에, 만약 개인정보가 유출되었을 때 필요한 보고 등의 대응을 파악해 둘 필요가 있다. 이 글에서는 개인정보 유출이 발생했을 때의 보고 의무와 대응 방법에 대해 설명합니다.

개인정보(개인 데이터), 개인정보 유출이란?

개인정보보호법상 구체적인 개인정보 항목과 개인정보 유출의 정의에 대해 설명합니다.

개인정보보호법이란?

개인정보를 취급하는 경우의 규칙을 규정한 법률로 2005년부터 전면 시행되었습니다. 개인정보의 적절한 이용을 촉진하면서 개인의 권리와 이익도 보호하는 것으로 균형을 맞추고 있으며, 보호 대상 정보의 정의와 이용 시 규칙을 규정하고 있습니다. 이를 준수하지 않을 경우 지도, 권고, 과태료 등으로 이어질 수 있습니다.

개인정보와 개인 데이터, 항목의 구체적 예시

개인정보란 특정 개인을 식별할 수 있는 정보를 말하며, 구체적으로는 이름, 생년월일, 주소, 혈액형, 성별, 직업, 전화번호, 소득, 생체정보, 신용카드 번호, 금융기관 정보, 그리고 비밀번호 등을 들 수 있다. 개인 데이터는 기업이 관리를 위해 정리한 개인정보 데이터베이스를 구성하는 개인 정보를 말한다. 예를 들어, 명함 관리 툴을 통해 검색할 수 있도록 체계화하여 정리한 것은 개인 데이터에 해당한다.

개인정보 유출이란?

개인정보 유출이란 개인정보 보유자 및 개인정보에 해당하는 자의 의도와는 달리 정보가 제3자에게 넘어가는 것을 말합니다. 개인정보보호법에서는 데이터의 내용이 없어지는 '멸실'과 의도하지 않은 형태로 변경되는 '훼손'도 총칭하여 '유출 등'으로 정의하고 있습니다.

개인정보 유출 시 신고의무란?

개인정보 유출 시 필요한 보고와 그 방법에 대해 설명합니다.

보고 의무가 발생하는 요건

개인정보보호법에서는 개인정보 유출 시 신고의무가 발생하는 4가지 경우를 규정하고 있습니다. 첫째, 인종이나 신념, 병력이나 범죄경력 등 특히 취급에 주의해야 할 '배려가 필요한 개인정보'가 유출된 경우. 둘째, 부정하게 이용되어 재산상 손해가 발생할 우려가 있는 것이 유출된 경우. 또한, 부정한 목적을 가지고 유출이 이루어진 경우. 그리고 1,000명 이상의 데이터가 유출된 경우입니다. 또한 이 네 가지 경우가 발생했는지 여부를 정확히 판단할 수 없거나 발생했을 가능성이 있는 경우에도 보고 의무가 발생한다.

개인정보보호위원회에 보고

정보유출이 발견되면 3~5일 이내에 즉시 개인정보보호위원회에 '속보'를 올립니다. 그 다음 30일 이내에 자세한 내용까지 포함한 '확정보고서'를 제출합니다. 개인정보보호법에 규정된 9가지 사항, 즉 '개요', '유출 등이 발생했거나 발생할 우려가 있는 개인정보의 항목', '유출 등이 발생했거나 발생할 우려가 있는 개인정보의 항목', '유출 등이 발생했거나 발생할 우려가 있는 개인정보에 관한 본인의 수', '원인', '2차 피해 또는 그 우려의 유무와 그 내용', '본인에 대한 대응 실시', '공표의 이행 상황', '공표 실시 상황', '재발 방지를 위한 조치', '기타 참고할 만한 사항'에 대해 속보 시점에는 파악한 것만, 확정보고에서는 모든 것을 정확하게 보고해야 합니다.

본인 통지

위에서 언급한 바와 같이 개인정보보호법에서는 보고를 할 경우 유출 등의 대상이 된 본인에게도 문서나 이메일 등의 수단으로 통지를 해야 한다고 규정하고 있습니다. 다만, 기준에 미달하더라도 개인정보가 유출된 당사자가 어떤 계기로 유출 사실을 알게 되면 기업에 대한 신뢰가 떨어질 수 있습니다. 본인에게 미칠 영향이 우려되는 경우에는 통지를 고려해야 합니다.

대외 공표

개인정보보호법에서는 본인에게 통지하기 어려운 경우의 대체 조치로 공표가 언급되어 있지만, 가이드라인에서는 사안의 내용에 따라 2차 피해 및 유사 사례의 발생을 방지하기 위해 공표를 하는 것이 바람직하다고 명시하고 있습니다.

개인정보 유출이 발생하는 주요 원인

개인정보가 유출되는 주요 원인은 크게 인위적 실수에 의한 것과 외부 공격에 의한 것으로 구분할 수 있다. 인위적 실수로 인한 정보 유출은 잘못된 상대방에게 메일을 보내거나, 외부로 반출한 노트북을 도난당하는 경우 등이 있습니다. 외부 공격에 의한 정보 유출은 내부 정보를 외부로 전송하는 악성코드에 감염되거나 부정 접속의 대상이 되는 경우입니다. 또한 퇴직자에 의한 데이터 반출도 적지 않게 발생하고 있습니다.

개인정보 유출이 발생했을 때 대응 방법

개인정보 유출이 발생했을 때의 구체적인 대응 방법을 소개합니다.

개인정보 유출 시 필요한 대응

• 사업자 내부 보고 및 피해 확대 방지
  즉시 담당부서에 보고하고, 부정 접근이 의심되는 경우 추가 피해 확대 및 2차 피해를 막기 위해 외부로부터의 접근을 차단하고, 데이터를 삭제하지 않도록 보전하는 등 적절한 초기 대응을 수행합니다.

• 사실관계 조사 및 원인 규명
  정보 유출의 원인이 무엇인지, 어떤 경로로 유출이 발생했는지 조사합니다.

• 영향 범위 파악
  정보 유출이 발생한 상황을 정리하여 세부적인 조사 대상 범위를 설정합니다.

• 재발방지대책 검토 및 시행
  원인을 규명하고 재발방지대책을 수립하여 사내에 공유합니다.

• 개인정보 보호위원회 보고 및 본인 통지
  개인정보보호법에 따라 위원회에 보고 및 본인에게 통지합니다.

외부 보고 및 대응

• 기자간담회
  기자간담회를 진행할 경우, 사전에 FAQ를 준비해두면 정확성이 떨어지거나 오해를 불러일으킬 수 있는 질의응답으로 인한 2차 피해를 방지할 수 있습니다.

• 취재 대응
  각종 언론사 기자들의 취재 요청은 답변 기한이 짧은 경우도 있으므로 신속하게 답변할 수 있도록 준비해야 한다.

• 관공서 보고
  업무상 관공서와의 교류가 있는 경우, 보고를 요구하지 않더라도 관공서 측에서 보고를 기다리고 있는 경우도 있습니다. 이메일 등으로 속보적인 대응을 한 후, 지정된 양식에 따라 확정적인 보고를 하는 것이 좋습니다.

• 거래처에 대한 설명
  회사의 거래처로부터 문의를 받는 경우도 있습니다. 개인정보보호위원회에 보고를 하고 있다는 것을 설명하고, 적절한 대응을 하고 있다는 자세를 전달합시다.

개인정보 유출에 대비하는 방법은?

개인정보 유출이 발생했을 때 신속하게 대응할 수 있도록 평상시부터 대비하는 것이 중요합니다. 먼저 어느 부서, 누구에게 보고할 것인지, 유출된 기기를 어떻게 처리할 것인지 등 사내 초기 대응 플로우를 만들어 직원들에게 철저히 주지시켜야 합니다.

개인정보 유출이 발생하면 즉시 포렌식 조사를 실시해야 한다.

정보 유출이 발생했을 때 기업이 해야 할 일은 '포렌식 조사'입니다. 어떤 조사인지 소개합니다.

포렌식 조사란?

법과학의 한 분야로, 디지털 기기에 저장된 정보를 수집, 분석하여 범죄나 부정행위의 증거를 밝히는 조사를 말합니다. 원인을 규명함으로써 재발 방지책을 세울 수 있고, 책임 소재를 밝혀 자사가 소송에 휘말렸을 때를 대비할 수 있습니다.

AI를 활용한 프론테오의 포렌식 조사 서비스

방대한 양의 데이터를 다루는 현대의 포렌식 조사에서 AI 활용은 이제 필수입니다. 전문가가 검토한 소수의 샘플 파일로 AI에 판단 기준을 학습시켜 대량의 데이터를 관련성이 있는 데이터와 그렇지 않은 데이터로 분류하게 한다. 조사 초기에 해야 하는 단순 데이터 분류 작업을 소수의 인원으로 단시간에 할 수 있어 조사의 효율화뿐만 아니라 전문가의 자원 집중을 통한 정확도 향상도 기대할 수 있다.

프론테오의 포렌식 조사 사례 소개

실제 FRONTEO에서 수행한 개인정보 유출 관련 포렌식 조사 사례를 소개합니다.

악성코드 감염에 의한 개인정보 유출 조사 사례

한 기업의 PC가 악성코드에 감염된 것이 발견되어 개인정보 유출이 의심되는 사건이 발생하여 전문 조사기관인 프론테오에 포렌식 조사를 의뢰하였습니다. 감염 경로 파악과 감염된 단말기의 정보 유출 흔적을 추적하게 되었습니다.

수백 대의 단말기를 대상으로 분석 툴을 통한 분석을 실시하여 공격 경로를 가시화하여 피해 단말기를 파악했다. 또한 다크웹에서 유출된 정보가 거래되고 있는지 30여개에 달하는 사이버 암시장을 대상으로 조사를 실시했습니다. 조사 결과, 정보 유출이 발생한 PC를 특정할 수 있었을 뿐만 아니라, 다크웹에 정보가 유출된 것까지 확인할 수 있었습니다.

자세한 조사 내용은 '악성코드 감염에 의한 개인정보 유출 조사'에서 확인하실 수 있습니다.

개인정보 유출 시 포렌식 조사는 프론테오로!

FRONTEO는 2003년 창업 당시부터 일본 포렌식 조사의 선구자로서 다양한 기업의 과제 해결에 힘써왔습니다. 탁월한 경험을 바탕으로 한 기술과 노하우는 정평이 나있습니다.

자체 개발한 AI 엔진 KIBIT을 활용하여 문서 검토 시 대폭적인 노동력 절감과 비용 절감을 실현하는 등, 사건 대응 경험과 자체 AI 엔진을 접목하여 타사에서는 불가능한 높은 정밀도와 효율성을 실현하고 있습니다.

일본과 한국에 데이터센터를 두고 있어 보안 대책도 만전을 기하고 있습니다. 고객사의 본사, 현지 법인, 로펌 등 3곳을 대상으로 원활한 서비스를 제공합니다. 글로벌 운영으로 신속한 지원을 제공합니다.