Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1.1 개인정보의 개념
개인정보 : 생존하는 개인을 식별할 수 있는 일체의 정보
생존하는 개인에 관한 정보
특정 개인을 알아볼 수 있는 정보
자연인(自然人)이어야 함
법인 또는 단체, 사망자(실종선고 등 관계
법령에 의해 사망한 것으로 간주되는 자
포함)은 제외
개인에 대한 사실·판단·평가 등 개인에
관한 모든 정보
개인을 식별하거나 식별 가능(다른 정보와
용이하게 결합 가능한 경우 포함)한 정보
(ex) 성명+주소, 성명+이메일주소 …
1.2 개인정보의 유형과 분류
• 교육 정보 • 근로 정보 • 자격 정보
• 주민등록번호 • 이름, 주소 • 가족관계 등
사회적
정보
• 통화·문자내역, IP주소 • 화상정보, GPS 등의 정보
• 신체정보 • 의료·건강정보
신체적
정보
일반적
정보
통신·
위치정보
• 개인 금융정보 • 신용정보
재산적
정보
• 기호, 성향 • 신념, 사상
정신적
정보
1.3 개인정보의 범위 확대
개인정보의 범위는 사회 환경, 기술 발전에 따라 지속적 확대
CCTV, 위치정보 등에 의한 신규 프라이버시 침해 가능성 급증
새로운 기술을 활용한 서비스에 대한 개인정보보호 대응책 필요
이름
주민등록번호
위치정보 개인의 생각 ? 바이오 정보
웹 위치추적 텔레매틱스 전자주민카드 가상 현실?
개인정보보호법 위치정보보호법 생체정보보호
가이드라인
신규
법·제도?
개인정보
서비스
법·제도
1.4 개인정보 유출 경로
개인정보
수집·이용
개인정보
유출 경로
개인정보
축적∙거래 2차 피해 발생
내부자
고의
위탁
대리점
외부공격
(해커)
내부자
관리부주의
온
라
인
음성시장을 통한
개인정보 거래
WWW
오 프
라
인
CD 등 저장매체를
통한 직접 판매
스팸, SMS 등에 악용
(Target Marketing)
명의도용
대포폰
개설
신용카드
발급
회원가입
비영리, 동호회
통신사업자
인터넷 사업자
스팸발송,
명예훼손,
해킹 등
악성행위에
이용
금전적
피해
유발
공공기관
준용 사업자
1.5 개인정보 유출로 인한 피해(1) – 개인
보이스 피싱 명의 도용
온라인 마녀 사냥 악성 댓글
사회활동
지장 초래
정신적
피해 심각 금전적 피해
발생
범죄에까지
악용
1.5 개인정보 유출로 인한 피해(2) - 기업
매출감소
가치하락
고객 이탈
잠재고객 외면
경쟁사의 비방 대상
정보주체의 배상 소송
손해배상금 지급
소송비용 발생
기업이미지 하락
개인정보 유출
[참고] 개인정보 피해사례
H백화점 직원 (신용판매과)
지존파 브로커 前 직장동료
지인
우수고객명단 = 살해대상자 명단?
[참고] 개인정보 피해사례
[참고] 개인정보 피해사례
공모
이통사 대리점 직원
범인
중국 해커
[참고] 개인정보 피해사례
카드발급을 위해 몇가지 기본정보만 확인하겠습니다
[참고] 개인정보 피해사례
발생일 기업 개요 결과
2012.04 Global Payments 전자결제처리 사업자인 Global Payments 시스템이 사이버
공격을 당해 계정 정보 약 5만~1,000만 건 도난
Global Payments는 유출 피해 계정 수가 150만 이하로 발표, 신용카드
정보는 유출되었지만, 이름, 주소, Social Security Number(SSN)은 누
출되지 않았다고 주장
2012.02 Google Google이 광고 쿠키를 통해 Apple의 웹 브라우저 Safari의
개인정보 설정을 우회하여 이용자의 웹기록을 추적한 사건
FTC는 Google에 대한 조사 실시. 2012년 7월 11일에 Google이 FTC와
화해하고 2,250만 달러의 벌금 지불하고 개인정보보호 정책 강화를 위
해 비상팀(Red Team)을 운영함
2008 ~ 2010 Google
Google은 스트리트뷰를 자동차를 이용해 전 세계 수백만
명이 넘는 개인의 이메일, 비밀번호, 인터넷 검색 기록,
의료 기록 등을 수집함
FCC는 2012년 4월, Google이 당초 주장과는 달리 의도적으로 개인정
보를 수집했다고 밝혔지만, 기술적으로 불법은 아니라면서 Google이
조사를 방해한 혐의로 2만 5,000 달러의 벌금을 부과
발생일 발생기업 유출규모 개요 결과
2011.04 현대캐피탈 1.75
현대 캐피탈의 전자금융거래법 등 관련 법규에서 정한 사
고 예방 대책 이행 소홀로 유효고객 67만 명(38%), 종료고
객 81만 명(46%), 웹 회원 27만 명(15%)의 개인정보 유출
금융감독원, 현대캐피탈 정태영 사장에게 문책 경고 수준의 제
재 방침 통보 , 이는 1) 현대캐피탈이 해킹 사고의 피해자라는
측면이 있고, 2) 해킹 사실을 외부에 스스로 공개, 3) IT보안 예
산이 금감원 권고 수준인 5%를 넘는 7~8% 수준 등을 참작함
2011.07 SK컴즈 35 중국에서 접속한 해커가 개입해 3,500만 명의 개인정보가
유출, 해당 사건은 국내 최대, 국외 7번째로 큰 유출 사건임
법원은 피해자들에게 1인당 100만원씩 위자료를 지급하라고 판
결한 반면, 해당 사건에 대해서는 해커를 찾을 수 없다는 이유로
기소중지
2011.11 넥슨 13.2 온라인 게임 ‘메이플스토리’의 개인정보를 소홀하게 관리,
이용자의 개인정보를 유출 검찰, 넥슨의 개인정보 유출 사건에 대해 전원 무혐의 처분 결정
2012.04 EBS 4 중국 IP로부터 악성코드가 침투, 전체 회원의 약 20%의 개
인정보 유출 현재 조사 진행 中
2012.07 KT 8.7 870만 명에 이르는 KT 고객 정보가 해커에 의해 유출
극소량의 고객정보 조회 상황까지 실시간 감시하고 고객 본인이
개인정보에 대한 조회, 활용 이력을 직접 확인할 수 있는 시스템
구축 약속
[참고] 개인정보 침해사례
국가 발생일 기업 개요 결과
한국
2012.09 - 악성코드에 감염된 스마트폰으로 차량을 원격에서 조종
하는 ‘자동차 해킹’이 가능하다는 언론 보도
악성코드에 감염된 차량 점검 앱을 이용해 계기판과 경보음을 조작하거나, 차
량을 급가속 시키는 등 스마트폰으로 차량을 원격조정이 가능한 것으로 나타
남. 그러나 악성코드를 통해 침입한 해커의 공격을 막기 위한 차량 내부 보안
기술을 마련한 제조업체가 없어 문제가 심각한 것으로 나타남
2012.09 카카오톡 - 새 스마트폰으로 교체하거나 분실했을 때 기존 스마트폰에 담긴 카카오톡의
개인정보가 언제라도 외부에 유출될 가능성이 있다는 실험결과가 나옴
2011.12 삼성전자
삼성전자 갤럭시S 시리즈에서 기본으로 탑재된 거울, 데
이터통신 설정, 프로그램 모니터 등 앱들이 개인정보를
수집하고 있는 것으로 나타남
방통위는 삼성전자의 개인정보 수집 여부를 KISA를 통해 조사에 착수,
삼성전자는 개인정보 수집하거나 활용하지 않았다라고 적극 해명
미국
2012.09
Apple
해커집단 AntiSec이 FBI 요원 노트북을 해킹해 Apple 모
바일 기기 1,236만 대의 UDID(제품에 부여하는 40자 식
별코드)와 개인정보 등을 보유하고 있다고 밝힘
Apple은 향후 업데이트된 앱스토어에선 식별정보 사용을 금지할 것이라고 강
조함
2012.02 미국의 IT블로거들이 Apple이 앱을 통해 개인정보를 유출
있다고 폭로함
Apple은 아이폰과 아이패드의 앱에 사용자 개인정보에 접근하기 전에 사용자
의 동의를 구하고, 앱 인증 시 개인정보 정책을 강화하겠다고 밝힘
2011.12 Carrier IQ
삼성전자, Apple 및 美 주요 이동통신사들이 Carrier IQ가
만든 사용자 정보수집 소프트웨어를 소비자 동의 없이 전
세계적으로 약 1억 4,000만 대의 스마트폰에 내장하면서
미국 소비자들에게 피소 당함
보급자인 Carrier IQ, 스마트폰 제조사인 삼성전자, Apple, HTC, 그리고 이통
사인 AT&T, Sprint, T-Mobile 등이 미국 시카고와 세인트루이스 지방법원에
서 소송 中임
2.1 개인정보 보호 관련 법 체계
정보통신
의 료
• 통신비밀보호법, 위치정보법 • 정보통신기반보호법, 전기통신사업법 등
정보통신망 이용촉진 및 정보보호 등에 관한 법률
• 생명윤리 및 안전에 관한 법률
• 장기 등 이식에 관한 법률
• 응급의료에 관한 법률
금융/신용
교 육
• 금융실명거래 및 비밀보장에 관한 법률 • 전자거래기본법 • 전자상거래 소비자보호법」
• 초∙중등교육법
• 교육정보시스템의 운영 등에 관한 규칙 등
정보통신
의 료 금융/신용
교 육
• 정보통신망법
• 위치정보보호법
• 전자상거래 소비자보호법
• 전기통신사업법 등
제정 전 제정 후(3월)
개인정보
보호법
공공행정 • 공공기관의 정보공개에 관한 법률
• 전자정부법, 주민등록법
공공기관의 개인정보보호에 관한 법률
2.2 정보통신망법 기본원칙
OECD 가이드라인
필요한 최소한 범위 안에서 적법하고 정당하게 수집
수집·이용목적 범위 안에서 정확성, 완전성, 최신성 보장
수집·이용목적의 명확화
필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지
이용자의 권리침해 위험성 등을 고려, 안전성 확보
개인정보취급방침의 공개
열람청구권 등 정보주체의 권리 보장
정보통신서비스제공자의 책임 준수·실천, 신뢰성 확보
정보통신망법
1. 수집제한의 원칙
2. 정보정확성의 원칙
3. 목적명확화 원칙
4. 이용제한의 원칙
5. 안전보호의 원칙
6. 공개의 원칙
7. 개인참가의 원칙
8. 책임의 원칙
[참고] 개인정보 생명주기
개
인
정
보
생
명
주
기
수집
이용
제공
위탁
저장
관리
파기
정보통신망법상의 규정
개인정보 수집·이용시 동의 취득
개인정보 수집의 제한 (민감정보, 최소정보)
개인정보 이용의 제한
개인정보 취급위탁
영업 양수 등에 따른 개인정보의 이전
개인정보보호책임자 지정, 개인정보처리방침 게재
개인정보의 관리적, 기술적 보호조치
개인정보 파기
정보주체의 권리
개인정보의 제3자 제공
2.3 정보통신망법 적용대상 사업자
전기통신사업자
전기통신사업법 상의 기간·별정·부가통신사업자
인터넷 기반 서비스 제공 사업자
영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를
제공하거나 정보의 제공을 매개하는 자
(ex) 웹호스팅업체, 경매·커뮤니티 서비스제공자, P2P 사업자 등
방송사업자
지상파사업자, 종합유선방송사업자, 위성방송사업자, 방송채널사용사업자,
공동체라디오방송사업자, 중계유선방송사업자, 음악유선방송사업자,
전광판방송사업자, 전송망사업자
2.4 개정된 정보통신망법 주요내용(1)
인터넷상 주민번호 사용 제한 (법 제23조의2, 개정)
영리 웹사이트의 주민번호 수집·이용 금지
(기존 : 이용자 동의 시 주민번호 수집 가능)
※ 예외 : 본인확인기관, 법령에 따른 수집, 방통위 고시
(사업자) 주민번호 삭제, 대체수단(I-PIN) 도입
(이용자) 주민번호 입력 없이 회원가입 가능
이벤트 주민번호 입력
820211 *******
쿠폰입력
주민번호 입력
620714 *******
회원가입
주민번호 입력
750623 ******* 사 용 금 지
Do not use
개인정보 누출 등 통지·신고제 (법 제 27조의3, 신설)
개인정보 누출 시 이용자 통지 및 방송통신위 신고
※ 누출 개인정보 항목, 누출 발생 시점, 이용자 및 사업자
조치사항, 이용자 상담 부서와 연락처 등 통지·신고
(사업자) 이용자 상담 접수 부서 마련, 상담원 교육
(이용자) 해당 사이트 비밀번호 변경, 상담 문의 등
신고 통지
2.4 개정된 정보통신망법 주요내용(2)
이용자 개인정보 이용내역 통지제 (법 제 30조의2, 신설)
개인정보 유효기간제 (법 제29조 제2항, 신설)
이름, 전화번호… ㅇㅇ보험회사
유효기간 지나면
개인정보 파기!!
3.1 개인정보 수집 사회 – 구글(1)
개인정보 통합 후 달라지는 것
구분 변경 전 변경 후
회원정보관리 지메일, 유튜브 등 60개 서비스 별 관리 모든 개인정보 통합관리, 결합하여 활용
행태분석 기존 구글 검색 이용자 활동 분석 검색 + 유튜브, 캘린더, 문서도구 등도 통합분석
광고노출 검색 활동 분석을 통한 맞춤형 광고 모든 서비스 이용행태 복합 분석하여 맞춤형 광고에 적용
3.1 개인정보 수집 사회 – 구글(2)
3.1 개인정보 수집 사회 – 구글(3)
① G-mail 등에 로그인한 상태에서 검색과 같은 구글 서비스를 이용하면 ID와 함께 이용 기록이 저장됨
- 이용기록 최소화를 위해 꼭 필요시만 로그인
② 한번 로그인하면 직접 로그 아웃 할 때까지 로그인 상태가 계속 유지됨(종료후 다시 방문해도 동일)
3.2 잊혀질 권리
잊혀질 권리를 명시한 EU 개인정보보호 규정(안) 발표(’12.1월)
< 사업자 의무 사항 >
① 개인정보 삭제 요청시 지체 없이 삭제
② 복사, 링크 등에 대한 삭제 요청 시 해당 사업자에게 통보
③ 삭제가 불가능 할 경우 해당 개인정보 처리 정지
잊혀질 권리 보다 표현의 자유를 우선
- 잊혀질 권리에 소극적
과도한 의무로 기업활동을 위축
- 인터넷에서 개인의 모든 정보를
삭제하는 것이 기술적으로 어려움
3.3 SNS를 활용한 개인정보 노출 및 피해 사례(1)
시 사 점
< 서울신문(2011.6.11), “페이스북 ‘얼굴인식 기능’ 사생활 침해 논란 확산…獨·英·아일랜드 조사착수” >
3.3 SNS를 활용한 개인정보 노출 및 피해 사례(2)
4. KISA의 개인정보 보호 활동(1)
개인정보 노출 검색 및 삭제
개인정보 노출대응 상황실 운영(‘09.11~)
전세계 웹사이트
검색 및 삭제
4. KISA의 개인정보 보호 활동(2)
개인정보침해신고센터 개인정보 분쟁조정 위원회
성형 전/후 사진을 홈페이지에 게시, 마케팅에 이용
이를 알게 된 A양, 개인정보분쟁조정 신청
심각한 정신적 피해를 입힌 성형외과에 대하여
300만원의 손해배상금 지급 결정
4. KISA의 개인정보 보호 활동(3)
주민번호 클린센터
http://clean.kisa.or.kr
내 주민번호가 도용되고 있진 않을까?
※ 주민번호 이용날짜, 사이트 명, 이용목적 등
중소기업 기술지원센터
4. KISA의 개인정보 보호 활동(4)
주민번호 수집ㆍ이용 금지 지원 아이핀(i-PIN) 보급
수집 금지를 위한 사업자 지원 강화
현황 점검 상담·컨설팅 교육·홍보
주민번호
웹사이트
연령확인
성인인증
마일리지 . . .
주민번호 대신 아이핀 이용
* 아이핀 발급기관 (무료)
서울신용평가 KCB 나이스신용평가 공공 I-PIN 센터
siren24.com ok-name.co.kr idcheck.co.kr g-pin.go.kr
Related Documents
