xcurenet

보안지식센터

개인정보의
정의 및 개념

  • 개인정보란

    개인정보는 개인의 신분과 관련된 정보, 경력, 경제관계, 생체정보 등 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단을 나타내는 일체의 정보를 의미한다.
    「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조에서는 개인정보를 “생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의해 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보를 말한다”라고 규정하고 있다. 개인정보란 ‘개인의 신분과 관련된 정보, 경력, 경제, 경제관계, 생체정보 등 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단을 나타내는 일체의 정보’ 를 의미하며, 여기에는 당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 당해 개인을 알아볼 수 있는 것이 포함된다. 즉, 본인의 의사에 반하거나 본인이 알지 못하는 상태에서 이용될 경우 당사자인 정보주체의 안녕과 이해관계에 영향을 미칠 수 있는 개인 관련 정보는 모두 개인정보라고 할 수 있다. 다시 말해서 개인정보는 생존하는 자연인의 내면적 사실, 신체나 재산상의 특질, 사회적 지위나 속성에 관하여 식별되거나 또는 식별할 수 있는 정보의 총체를 일컫는 것으로 이해할 수 있는 것이다.

  • 개인정보의 내용과 분류

    개인정보를 파악하는 데에는 여러 가지의 기준을 적용할 수 있다. 우선, 크게는 공공부문과 민간부문의 개인정보로 나눌 수 있다.
    전통적으로 전자에 대해서는 특별한 관심이 주어져 별도의 입법에 의한 보호 노력이 이어져 왔지만 후자에 대해서는 개인정보 소유자와 취급자간의 개별적 관계에만 한정되어 취급되었다.
    두 번째로, 개인정보의 내용을 기준으로 구분하는 경우가 있을 것이다. 세 번째로, 개인정보 중 인격적 요소가 강한 정보와 재산적 요소가 많은 정보로 나눌 수 있을 것이다.
    전자의 경우 개인 자신과 가족의 인적 사항, 의료, 사회활동, 습관 및 취미정보 등을, 후자의 경우 금융, 부동산 및 동산, 소득, 기타 수익정보 등을 예로 들 수 있다.
    그러나 이러한 구분은 성질이 어느 한쪽이 강하다고 보는 것이지 명확히 구분되는 것은 아니며, 하나의 정보가 인격적 특성과 재산적 특성을 모두 가지는 것이 일반적이라 할 것이다.
    예를 들어, 카드정보는 카드소유자의 경제적 상황을 추적 가능하게 할뿐만 아니라, 그 개인의 형태에 관한 정보도 파악 가능하게 하고 의료정보는 개인의 사생활에 관한 사항뿐 아니라 재정적 상황을 간접적으로 짐작하게 할 수 있다. 네 번째로, 일반정보와 가족정보를 묶어 기본인적 정보 또는 기본정보와 이를 토대로 수집,축적되는 확장정보로의 구분도 가능할 것이다.

개인정보 유출의
문제점 및 피해

정보혁명이 가속화되고 소위 지식정보사회가 되면 될수록 개인정보에 대한 침해사례는 오히려 더욱 늘어날 것이다. 일례로 일본 내에 다양한 개인정보가 불법으로 유출,유통되고 있으며 일반 개인 신상 정보 1,500엔, 신용불량을 포함한 개인 여신정보 35,000, 개인병력을 포함하는 보험관련 정보 4,000엔 등 중요도에 따라 가격이 달리 책정되어 유통되고 있다고 한다. 개인정보 유출은 유출된 정보의 주체인 개인에게 정신적,경제적 피해를 줄 수 있을 뿐 아니라 정보화 사회의 기초인 정보의 신뢰성,안전성에 영향을 미칠 수 있는 중요한 문제라 할 수 있다. 기업과 기관은 사용자의 개인 정보를 대량으로 보유하고 있어 저장된 정보가 유출될 경우 가장 많은 피해가 발생 될 수 있다. Gartner에 따르면, 고객 데이터가 도난 당하거나 잘못 처리되면, 기업은 법적 비용, 정리, 복구, 통신비 등으로 노출된 하나의 고객계정 건 별 90달러 이상의 비용 대가를 치러야 한다고 한다. 이 비용에는 데이터 손실의 대중 공개로 인한 기업의 신뢰 훼손은 고려되지 않은 것이다.
만약 어느 기업이 55,000건의 데이터를 잃으면 500만 달러이상의 비용 손실이 있는 것이므로 개인정보 유출로 인한 기업의 피해는 실로 큰 수치라 할 수 있다.
개인정보 유출은 바로 발생되지 않는 잠재적인 피해라고 할 수 있다. 누적되었을 때 거대한 재앙으로 변질될 수 있다.
앞으로 개인정보를 보호하는 일은 개인의 재산이나 신용을 지키는 것에서 그치지 않을 것이다. 유출된 개인정보는 사내 네트워크나 암호, 이메일 주소 등을 연상할 수 있는 밑바탕이 된다. 따라서 개인의 명예, 금전적인 손해를 넘어 건강한 기업활동에 큰 걸림돌로 작용할 것은 자명한 일이다. 이에 개인과 기업, 정부는 개인정보보호에 대한 의식의 전환을 하여 보안을 뒷전으로 미뤄두지 않고 예방이라는 측면으로 인식하여 진정한 방어체계를 구축하고 강화하여야 할 것이다.

개인정보
유출경로

개인정보 유출사고는 매우 다양한 경로를 통하여 발생할 수 있다. 개인정보가 생성, 저장, 활용되는 개인 및 기업 내 시스템에서 정보가 전달되는 네트워크 상에 이르기까지 개인정보로의 접근이 가능한 모든 곳이 유출 경로가 될 수 있는 것이다. 최근 가장 큰 문제점으로 지적되고 있는 주요 개인정보 유출 경로로 ‘기업 내 고객정보 유출’을 들 수 있다.
기업 내 고객정보 유출은 기업 내 축적된 고객정보가 외부로 유출된 경우로 금전적 이득을 위해 개인정보에 접근할 수 있는 내부자 또는 회사차원에서 은밀하게 판매하여 유출되는 경우와 포털사이트나 인터넷 쇼핑몰, 통신업체, 은행 등에서 관리 소홀 또는 부주의에 의해 고객정보를 유출한 사례도 뉴스에서 심심치 않게 볼 수 있다.
실제 한국정보보호진흥원에서 실시한 ‘정보보호실태조사(2005년)’ 결과에 따르면 개인정보,프라이버시 침해 피해의 주된 유형 중 ‘사업자의 관리 소홀로 인한 개인정보 유출’이 52.3%로 가장 높은 비율을 차지하고 있다.

개인정보
보호현황

1980년대가 메인프레임 시대로 많은 사람이 한 대의 컴퓨터를 사용했다면, 1990년대 들어와 한 사람이 한 대의 컴퓨터를 사용하는 1인 1PC 시대가 되었다.
이제는 한 사람이 여러 대의 컴퓨터를 사용하는 환경으로 바뀌었다. 현재 우리나라에서 사용되고 있는 PC가 약 2700만대, 초고속가입자가 1300만 명,홈페이지 수는 100만개를 넘어서고 있다. PC를 이용하지 않으면 일을 할 수 없는 요즘의 업무환경에서 그만큼 나도 모르게 개인의 정보가 노출될 개연성이 높아진 것이다.

개인정보 유출
사건 / 사고

유출사건내용

  • 내부직원의 불법적 개인정보 유출
    • SKT, KTF, LGT, KT(MPC) 대리점 직원이 심부름센터 등에 개인정보 판매(2005. 03)
    • 유명 홈쇼핑 영업점 직원이 회원 200만 명 개인정보를 텔레마케팅 업체에 판매 (2005. 03)
    • 내부직원, 대리점 직원 및 통신설계사 등이 부당한 목적으로 고객 개인정보를 외부에 유출 또는 판매
    • 제일기획이 광고 모델 데이터베이스 구축을 위해 작성한 보고서가 이메일과 메신저를 통해 유출
  • 연예인 X-File사건
    • 유명연예인 125명의 상세 정보와 스캔들, 사생활 등의 정보 포함
    • 사고 당일에만 1천 200건의 피해신고가 접수
  • 엔시소프트 리니지 회원 명의도용
    • 한 달이 지난 3월에는 피해신고만 22만 건을 육박(최소 98만∼122만 명이 명의를 도용)
    • 개인정보가 회사의 과실로 인하여 유출되었음을 주장하며 정신적 손해배상 청구
    • 피해자 한 사람당 50만원씩 지급하라는 판결(서울중앙지방법원 2006.4.28)
  • 국민은행 인터넷 이용고객
    • 인터넷복권 이용 고객 3만 2천명의 정보 유출(2006.3.15)
    • 인터넷 복권구매 홍보메일을 발송하는 과정에서 신상정보를 실수로 첨부
    • 인터넷복권 일부 고객의 이름, 주민등록번호, 이메일 정보라며 본인정보 유출을 확인할 수 있는 긴급 서비스를 제공
    • 1천 26명의 피해자들로부터 30억 7400만원에 달하는 손해배상 청구소송
  • 초고속 인터넷 가입자 개인정보 유출
    • KT, 하나로텔레콤, 두루넷, 온세통신 등 국내 4대 인터넷 서비스업체의 770만명 가입자 정보 유출 (2006.04)
    • 유출된 정보 : 이름, 주소, 주민등록번호, 전화번호, ID, 고객 가족관계 정보(건당 1원에 판매)
  • 미국 국가기관 정보 유출
    • 보훈처 : 2천 6백만명에 달하는 재향군인과 현역 군인의 신상정보가 담긴 자료 유출 (2006.06)
    • 해군 : 군인과 가족 등 2만 8천명의 이름, 생년월일, 사회보장번호 등이 유출 (2006.06)
    • 농무부 : 2만 6천명의 개인 신상정보 유출(2006.06)
    • 에너지부 : 핵무기 제조시설에서 일하는 요원 4천명과 국가핵안전위원회와 계약을 맺은 1천 5백여 명의 신상정보 유출 (2006.06)
  • 미국 CIA요원 신상정보 유출
    • 인터넷 정보검색 사이트에서 미국 중앙정보국 요원(CIA) 2천653명의 신상정보와 미국 내 20여 곳의 사무실 위치, 50여 개의 정보국 내 전화번호 등이 유출 (시카고 트리뷴)
    • 보험 회사 등의 민영 기업이나 정부기관의 고객 데이터 관리를 대행하는 초이스포인트가 고객 16만 3천명의 재무 데이터 유실(2005.02)
    • 유출된 정보가 위조 신용카드에 이용 800건 이상 발생 (미연방거래위원회 FTC)
    • 1500만 달러(Civil penalty: 1,000만, 고객손해배상:5백만)의 배상 판결 (2006.01)
  • NHN재팬 온라인 게임
    • 교토시 우지시의 주민정보가 유출
    • 한 명당 15,000엔(정신적 손해 10,000엔 변호사 비용 5,000엔)의 배상 판결
  • 교토시 주민정보 유출
    • 직원의 실수로 30만 명의 ID, 이메일 주소, 서버 로그 파일 등 외부에 노출 (2006.06.28)
    • 온라인 게임 시장에서 유례없는 대규모 정보 유출
    • 개인정보 문제에 극히 민감한 일본 사회에서 큰 파장
    • 게임 회사의 이미지에도 부정적인 영향

개인정보보호법
법제 현황

고객 정보의 접근 및 유출에 대한 보안 통제 개인정보 남용이 심각한 사회문제로 대두되고 있는 가운데 개인과 기업, 기관뿐 아니라 국가에서도 개인정보보호에 대한 중요성을 인식하고 있다. 현재 정통부의 정보통신망법, 재경부의 신용정보법 등이 효력을 발휘하고 있지만 특성상 적용 범위가 제한적인 한계를 드러내고 있고, 개인정보를 통합적ㆍ체계적으로 관리,보호하는 기본법은 미흡한 실정이다. 그 동안 우리나라의 개인정보보호에 대한 법적 근거와 추진체계는 공공부문과 민간부문으로 각각 구분ㆍ운영되어 왔었다. 그러나 개인정보보호법안들은 공공부문은 물론 민간 영역까지도 적용될 수 있는 공통의 개인정보보호 체제를 정립하고 모든 대상자를 규율 하기 위한 법률체계의 마련이 필요하다. 개인정보보호법 제정이 개인정보유출 방지에 크게 기여하고 심각해져 가고 있는 개인정보보호 문제에 대한 전환점이 될 수 있을 것이라는 기대감과 함께 국회에는 민주노동당, 열린우리당, 한나라당에서 발의한 세 개의 개인정보보호법안이 제출돼 있다. 시민단체 등에서 법안을 발의한 의원들에게 지속적인 법 제정을 촉구하고 있지만 아직까지 국회 내외부적 요인으로 2년째 계류되고 있어 법안 통과가 불투명한 상태라는 전망이다.
미국, 일본, 유럽 등 외국에선 개인정보보호의 중요성을 인지하고 2~3년 전부터 개인정보보법을 제정하는 등 활발한 움직임을 보이고 있다. 개정법안에 의해 개인정보의 취급,관리는 사업자의 책임으로 엄격하게 추궁하고 있다.

개인정보보호
시스템

Firewall 등의 기존 보안 대책 제품에 가세해 개인정보나 기밀 정보의 유출 대책을 타겟으로 한 다양한 툴이나 시스템이 보안 시장에 등장하고 있으나,일반적으로 개인정보 누출 방지에 대한 방지 및 해결책은 해킹 및 바이러스 등의 외부침입에 대한 것이 대부분이다. 이에 못지않게 정보유출사고가주로 내부자에 의해 고의적 혹은 우연한 과실로 인해 이루어 지고 있고 그 심각성이 대단히 크므로 내부자에 의한 정보유출에 대한 대비책 마련이 시급하다.

  • 내부정보보안 솔루션

    내부 정보보안 기술의 종류는 그 중요성만큼이나 다양하다. 접근권한을 운영체제(OS) 레벨에서 통제하는 Secure OS에서부터 시스템 내부에서 일어나는 기술적인 침입까지 탐지하는 호스트 기반 침입탐지시스템(IDS), 중요한 문서를 암호화해 저장하는 문서보안, 중요 데이터의 위,변조를 방지하는 DB보안, 그리고 네트워크 트래픽이나 메시지 또는 이메일 등을 감시하는 각 종 모니터링 솔루션 등이 있다. 그러나 이러한 정보유출에 관한 툴이나 시스템은 산만하게 도입하는 것 만으로는 의미가 없고, 내부정보보안에 대한 심도 깊은 이해와 함께 적절히 운용되어야만 진가를 발휘한다. 정보 보안 분야에 있어서의 툴이나 시스템은 반드시 어떠한 형태로 로그를 남기거나 경고 메일을 발송하거나 하는 매우 중요한 기능을 가지고 있다. 특히 정보 유출 대책 제품군에서는 이러한 기능이 보다 중요한 것이 된다. 기밀 정보가 누설될 가능성을 재빨리 발견해 효과적인 대책을 실시할 수 있는지 아닌지는 로그나 경계체제를 어떻게 이용하는가에 따라 달려 있기 때문이다.

  • 내부정보 유출감사 시스템

    이메일 모니터링은 내부 중요정보가 직원의 이메일을 통해 외부로 유출되는 것을 방지하기 위해 직원들의 이메일 가운데 특정단어를 검색하고 관리자에게 통보해주는 솔루션이다. 기업 정보유출 경로의 80%가 이메일이라는 한 통계수치를 감안할 때, 가장 간단하면서도 효과적인 내부 정보보안이라 할 수 있다.

시스템 도입의
필요성

내부정보 유출 방지에 대한 필요성은 계속해서 증가하고 있으며 개인정보를 보유하고 있는 게임, 금융, 서비스, 인터넷 상점 등 특성에 맞는 개인정보 유출 방지 시스템의 도입은 이제 받아들일 수밖에 없는 현실이다.

사회문화적 측면: 개인정보 유출, 유출 자료 불법 사용, 법적 소송
기업내적 측면: 내부자의 정보 유출 피해, 아웃소싱 및 외주 개발 증가에 따른 보안문제 발생
기업외적 측면: Compliance 강화(SOX, HIPAA, 바젤Ⅱ 등 기업 내부 정보에 대한 규정)

내부보안에 대한 인지가 부족한 상태에서 피해가 발생될 수 있지만 이러한 내부정보 유출 차단 시스템의 도입은 재발 가능성을 미연에 방지할 수 있으므로 정보보안 담당자 혹은 경영자는 반드시 고려하여 시스템 도입 및 보안 정책을 수립 적용하여야 한다. 인터넷에서는 검열이라는 것이 불가능할 정도로 너무나 많은 전자게시판과 온라인 정보교환을 위한 방법들이 제공되고 있다. 개인정보를 도둑맞는다는 것은 어떤 면에선 집을 털리는 것보다 불안하고 예민한 문제다. 개인의 신상정보는 물론 경제,사회생활의 흔적까지 샅샅이 추적할 수 있다. 그래서 개인정보의 유출은 경우에 따라 커다란 금전 피해와 각종 범죄의 수단으로 이어질 수 있다.

이제 개인정보 유출에도 사회적 재해라는 단어를 써야 한다. 개인정보보호 체계가 잘못돼 유출되면 엄청난 파장이 일어난다. 관계기관이나 개인까지 피해가 확산 된다. 이것은 사회적 재난이다. 전문가들은 개인정보 유출 피해의 최종 책임은 결국 정보를 보유했던 기업의 책임임을 분명히 하고 있다. 개인정보를 유출하는 곳도 기업이고, 유출된 개인정보로 이득을 보는 곳도 기업이기 때문이다. 2005년 국내 엔씨소프트의 개인정보 유출 사건에서 보듯이 이제 고객들은 기업이 고객의 개인정보를 얼마나 잘 관리하는가에 따라 그 기업을 평가하고 있다. 이러한 위협과 취약점으로부터 기업 네트워크를 완전하게 보호하려면 Content Security 제품은 application 레벨의 혁신적인 기술에 기반해서 만들어져야 한다. 고객 정보를 보호하기 위해 기업이나 기관은 정보유출 차단시스템을 통한 방어체계를 구축하고 내부적인 투자와 정비, 온라인 교육 등을 강화해야 할 것이다.