개인정보보호 현황 및‘08년 개인정보보호 정책방향 충청북도교육청 2008 . 10. 02(목) 한국정보보호진흥원 심 수 연 연구원
정보사회의 발전 산업사회(~1990년대 이전) 정보사회 (1990~2010) 유비쿼터스사회 (2010 이후) 은행 학교 기업 대량생산 사회 물리공간 사회 시/공의 제약 감수 은행 학교 기업 쇼핑몰 시청 e-은행 e-시청 e-학교 e-쇼핑 e-기업 정보사회 (1990~2010) 정보의 가치 증대 시/공의 제약 감소 (전자정부, 인터넷뱅킹 등) 학교 기업 쇼핑몰 시청 은행 동식물 자동차 가전 도로 상품 유비쿼터스사회 (2010 이후) 실제사회와 가상사회 통합 시/공의 제약 소멸 (Anytime, Anywhere, Anynetwork, Anydevice)
가상체험교육(Magic Carpet) 활성화 정보화 사회의 빛 u-IT 구현 u-Learning 구현 가상체험교육(Magic Carpet) 활성화 센서를 활용한 지능형 학습환경 High Quality 이동 원격 교육 사람 u-Health 구현 예방, 진단, 치료, 사후관리 서비스 통합 원격·이동 질병관리 및 건강검진 노인 및 환자를 위한 24시간 의료 지원 네트워크를 통한 하나되는 사회 사물 공간 u-City 구현 지능화된 도시는 기존 환경, 교통, 주택, 범죄 문제 해결을 통한 시민 삶의 질 향상 서비스 u-복지 u-교육 u-환경 u-안전 u-교통 u-레저 인프라 Broadband Wireless USN Mobile
정보화 사회의 그림자 리니지 주민번호 도용 사건 사례 리니지 시장 개요 Game Item 시장 약 1조원 형성 - 아이템 가격 : +10 싸울아비검 천만원 이상 - 캐릭터 가격 : 포세이돈 (레벨 76) , 추정불능 리이지 작업장 : 중국 내 1,000여 곳 - 종사인력 : 약 4만명 - 자동화 프로그램을 이용, 게임 아이템 생산 회원 가입을 위해 주민등록 번호 필요 명의도용과 해킹을 통한 주민등록 번호 확보 중국 내 한국 주민번호 판매 Portal 양산 - 약 122만개 도용 주민등록 도용 원인
정보화 사회의 그림자 피싱 사기 피싱 사기범죄 사례 시중 유명 은행의 가짜 사이트를 여러 개 만들어 이용자를 현혹 시중 유명 은행의 가짜 사이트를 여러 개 만들어 이용자를 현혹 범인이 은행직원임을 사칭해 피해자와 직접 통화하는 방법으로 접근 - 인터넷 뱅 킹이나 텔레뱅킹에 신규 가입하도록 하고, 일정금액을 입금해 통장 잔액을 유지하도록 유도 ’05년 9~10월 5건, 1억 6986만원 피해 금융기관, 전자상거래업체 등의 위장 웹사이트를 구축 이 메일을 보내 이용자를 유인하여 신용카드, 금융계좌 비밀번호 등록 유도 받아진 금융정보로 금융기관에 접속하여 재산 탈취 Phishing Private Data (개인정보) Fishing (낚시) +
정보화 사회의 그림자 휴대폰 스팸 [음성 및 문자스팸] 사회공학적 방법을 이용한 스팸 증가 음성정보시장 2500억원(060시장 1000억원) 규모 질레트 모바일 마케팅 2700만 건 히트수 기록 돈 필요하시죠? - 대출관련 스팸전화 56% 서울 1만3천원 - 대리운전이용 경험 고객 다수의 사업자로부터 스팸문자 수신 자꾸 걸게되요 - 실시간 채팅 등 음란전화 - 10대 미성년자 370만원 휴대폰요금 연체로 자살
‘개인정보’란? 식별된 또는 식별 가능한 생존하는 개인에 관한 정보 공공기관의 개인정보보호에 관한 법률 식별 또는 식별 가능한 원칙적으로 생존하는 개인 개인에 관한 정보 식별된 또는 식별 가능한 생존하는 개인에 관한 정보 제2조 (정의) - 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명ㆍ주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보 만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다. 공공기관의 개인정보보호에 관한 법률
개인정보의 유형 구 분 내 용 일반 정보 신체적 정보 정신적 정보 재산적 정보 사회적 정보 기타 일반정보 구 분 내 용 일반 정보 일반정보 이름, 주민등록번호, 주소, 전화번호, 생년월일, 출생지, 이메일주소, ID/PW, 가족관게 및 가족 구성원의 정보, IP주소 등 신체적 정보 신체정보 얼굴,지문,홍채,음성,유전자정보,키,몸무게 의료/건강 건강상태, 진료기록, 신체장애, 장애등급 정신적 정보 기호/성향 도서, 비디어대여기록, 잡지구독정보,여행 등 활동내역, 식료품 등 물품구매내역, 인터넷 웹사이트 검색내역 신념/사상 종교 및 활동내역, 정당, 노조 가입여부 및 활동내역 재산적 정보 개인/금융 소득정보, 신용카드 번호 및 비밀번호, 통장계좌번호 및 비밀번호, 동산.부동산 내역, 저축내용 신용정보 개인신용평가정보, 대출 또는 담보설정내역, 신용카드 사용내역 사회적 정보 교육정보 학력,성적,출석상황,자격증보유내역,상벌기록,생활기록부 법적정보 전과, 범죄기록, 재판기록, 과태료 납부내역 근로정보 직장,고용주,근무처, 근로경력, 상벌기록, 직무평가기록 기타 통신정보 통화내역, 인터넷 웹사이트 접속내역, 이메일이나 전화메시지 위치정보 IP주소, GPS 등에 의한 개인위치 정보 병역정보 병역여부, 군번, 계급, 근무부대
정보보호의 개념 확장 정보보호의 영역 정보보호의 개념 확장 유비쿼터스 정보보호 정보보호 대상 확대 이용자의 신뢰요구 증가 System + Network + Service 정보보호 대상 확대 System + Network 악성행위로부터 보호 안전성, 신뢰성, 건전성 System 네트워크 가용성 프라이버시(Privacy) 신뢰(Trust) 보안(Security) 안전(Safe) 기밀성, 무결성 홈네트워크 유비쿼터스 정보보호 이용자의 신뢰요구 증가 기밀성 (Confidentiality): 권한없는 사용자로부터의 접근을 방지 기밀성 무결성 가용성 안전성 신뢰성 이동성 무결성 (Integrity): 권한없은 자료변경을 방지 가용성 (Availability): 정보/서비스의 이용성 향상
개인정보의 특성 및 침해원인 정부 개인정보의 특성 개인정보 침해 원인 침해 발생 개인 기업 공공 타인 정보 사용에 대한 욕구(익명성) 웹2.0 등장으로 인한 정보의 공개 공유 증가(블로그, UCC, P2P) 개인정보 제공은 사이버 활동의 필수 요건 개인정보를 자산, 재화로 인식 주민번호 등 개인정보 도용 고객정보 해킹 및 음성적 거래 P2P 등에서의 개인정보 노출 기업 타겟 마케팅, CRM 활용 개인정보 확보는 경쟁력의 핵심 인식 및 관리 부주의 주민번호 수집 관행화 통신시장 포화, 시장 경쟁 과열 주민번호 등 개인정보 노출 내부 직원 및 영업점에의 유출 개인정보의 불법 수집 및 제공 공공 서비스 고도화로 정보활용 증가 개인정보의 수집, 활용 형태가 민간 기업과 유사하게 진행 인식 및 관리 부주의 서비스 효율화를 위해 개인정보의 무단 활용을 문제 삼지 않는 풍토 개인정보의 노출 내부 취급자에 의한 유출 정부 관련 법규 및 제도 미비에 따른 사각지대 발생 개인정보 침해에 대한 집행력 및 정책 대안 마련 부족
4 Tip 개인정보 취급자가 업무목적 외 열람ㆍ조회(유형①) 유력 대선 후보의 납세ㆍ진료기록을 업무목적이 아닌 단순 호기심 차원에서 열람한 사례 (’07.9.4. 조선일보, ’07.10.1. 중앙일보 등) 4 OO 면사무소 직원의 업무 목적외 이용 Tip 면사무소 직원이 친정언니 친구의 부탁을 받고 채무자의 주소를 확인
5 개인정보 취급자가 의도적인 유출 및 유용(유형②) 공익요원이 행안부 주민등록전산센터에서 관리하는 주민번호를 금품을 받고 불법 유출한 사례 (’07.12.1. 신문각사) 5 OO 동사무소 개인정보 불법적 제공 주민 4000여명의 주소와 전화번호 제공
담당자 인식부족으로 개인정보가 담긴 자료 게재 (74%) 부주의 등으로 웹사이트상 개인정보 노출(유형③) 업무담당자가 부주의로 개인정보가 담긴 첨부 파일을 게재 담당자 인식부족으로 개인정보가 담긴 자료 게재 (74%) 홈페이지 관리자 및 자료게시자가 공시송달, 각종 명단 등 개인정보가 담긴 첨부파일을 등록한 경우
부주의 등으로 웹사이트상 개인정보 노출(유형③) 홈페이지를 잘못 설계하여 전문검색엔진에 관리자 화면 등이 노출 홈페이지 보안 미흡(21%) 홈페이지를 잘못 설계하여 개인정보가 노출된 경우 (공개할 화면의 범위를 잘못 설정)
부주의 등으로 웹사이트상 개인정보 노출(유형③) 민원인이 홈페이지 게시판 등에 직접 게재한 개인정보를 담당자가 방치 민원인이 게재한 개인정보 방치(2.4%) 민원, 의견, 제안, 진정 등 민원인이 직접 홈페이지 게시판 등에 게재한 개인정보를 방치한 경우
1 해킹 등 기술적 방법에 의해 불법으로 정보를 절취·훼손(유형④) 주민번호 등이 ‘해킹 SW’에 의해 중국 포털에 노출된 사례 (‘06.2. 중앙일보) OO 청 1 기술적 관리적 조치 미비 로그인 710*** -******* 홍길동 클릭 주민등록번호만으로 외부인이 인터넷을 통해 개인정보 DB접근 가능
우리나라 개인정보보호 법률 체계 개인정보보호법률 체계 공공행정 교육 정보통신 의료 금융/신용 공공기관의 개인정보보호에 관한 법률 공공기관의 정보공개에 관한 법률 전자정부법 주민등록법, 호적법 등 정보통신망 이용촉진 및 정보보호 등에 관한 법률 통신비밀보호법 정보통신기반보호법 전기통신사업법 등 신용정보의 이용 및 보호에 관한 법률 금융실명거래및비밀보장에관한법률, 전자거래기본법 전자상거래등에서의소비자보호에관한법률 보건의료기본법, 의료법 생명윤리및안전에관한법률 장기등이식에관한법률 응급의료에관한법률 교육기본법 초중등교육법 교육정보시스템의 운영 등에 관한 규칙 등
개인정보보호의 원칙 공공기관의 개인정보활용은 원칙적으로 기본권 제한이라는 측면에서 이루어짐 [공공기관 개인정보보호법 원칙) -‘기본권 침해의 소지가 없는 한도 내에서 허용’- [공공기관 개인정보보호법 원칙) OECD 원칙(1980) 명확한 수집 목적 필요 적법하고 정당한 수집 목적 외 용도로 활용불가 개인정보의 정확성 보장 개인정보의 안전성 확보 명확한 개인정보관리의 책임관계 제시 개인정보취급에 관한 사항 공개 정보주체의 권리 보장 수집제한의 원칙 정보내용정확성원칙 목적명확성원칙 이용제한원칙 안전성확보원칙 공개의 원칙 개인참여의 원칙 책임의 원칙
개인정보의 수집 단계 개인정보의 수집 (제4조) 개인정보 파일 사상, 신조 등 민감한 개인정보 수집 금지 개인정보의 수집 단계 개인정보의 수집 (제4조) 사상, 신조 등 민감한 개인정보 수집 금지 ※ 예외 : 정보주체의 동의가 있는 경우 다른 법률에 수집대상 개인정보가 명시되어 있는 경우 개인정보 수집 시 법적 근거, 목적 및 이용범위, 정보 주체의 권리 등에 관하여 문서 또는 인터넷 홈페이지 등을 통해 안내 개인정보 파일 컴퓨터 등에 의하여 처리할 수 있도록 체계적으로 구성된 개인정보 집합물로서 자기테이프, 자기디스크 등 전자적 매체에 기록된 것 ※ 컴퓨터, CCTV 등 정보의 처리 또는 송수신 기능을 가진 장치에 의해 처리되는 디지털화 된 개인정보(개인정보 매뉴얼)
개인정보 파일 파기 및 이용자 권리 보장 개인정보 파일의 파기(제10조의2) 개인정보취급자의 의무(제11조) 개인정보파일 보유 목적 달성 등 파일 보유가 불필요한 경우 지체없이 파기하고 파기 사실을 공고 개인정보취급자의 의무(제11조) 직무상 알게 된 개인정보의 누설 또는 타인 제공 등 부당 목적 사 용 금지 -> 3년 이하의 징역 또는 1천만원 이하의 벌금 이용자의 권리 보장(제12조 내지 제14조) 이용자의 열람·정정·삭제 권리를 보장하여야 함
개인정보보호 종합대책 주요 세부과제 온라인 주민번호 대체수단(I-PIN) 개발ㆍ보급 웹사이트 본인확인 수단으로 주민번호를 대체하는 ID(I-PIN) 보급 확산 민간분야 i-PIN과 연계, 공공ㆍ민간에서 하나의 PIN을 사용할 수 있는 기반 마련 ※ '10년까지 전 공공기관 사용 확대 추진 개인정보 이용시 GPKI 등 기술적 보안 강화 개인정보 취급자 접근권한을 보안성이 뛰어난‘행정전자서명’ 방식으로 개선 권한의 임의 양도ㆍ대여 금지 개인정보 입력ㆍ수정ㆍ삭제ㆍ열람등에 대한 로그기록 의무화, 정보유출 책임소재
개인정보보호 종합대책 주요 세부과제 개인정보보호 인력에 대한 교육 의무화 경각심 고취를 위한 담당자 처벌 강화 CPO, 개인정보보호담당자 대상 교육의무화(20시간), 전문인력으로 육성 중앙공무원교육원, 지방행정연수원내 개인정보보호 교과목을 신규 편성 ※ 개인정보보호 교육 프로그램 다양화, 한국정보보호진흥원 등 전문교육기관 지정 e-Learnigng 컨텐츠 개발 보급, 교육기회 확대 등 경각심 고취를 위한 담당자 처벌 강화 침해유형에 따른 강화된 징계기준안 마련 등 처벌 강화 명백한 위법사항에 대해서는 적극 고발조치 개인정보 침해로 손해배상 발생시, 공공기관장은 관련자에게 구상권 적극 행사