본문 바로가기 메인메뉴 바로가기

전자정부이 누리집은 대한민국 공식 전자정부 누리집입니다.

뉴스

img-news

콘텐츠 영역

개인정보위 전체회의 주요 안건 브리핑

2021.09.08 정혜원 조사총괄과장, 윤정태 조사2과장, 김직동 신기술개인정보과장
<정혜원 개인정보보호위원회 조사총괄과장>
안녕하십니까? 개인정보보호위원회 조사총괄과장입니다.

개인정보보호위원회는 오늘 제15회 전체회의에서 개인정보보호 법규를 위반한 19개 공공기관에 총 9,360만 원의 과태료 부과, 시정권고·명령 및 공표를 하였습니다.

지난해 국정감사 과정에서 국회 행안위의 김영배 의원의 웹사이트 보안성 취약 지적 등 공공기관의 개인정보 유출 오남용 우려가 제기됨에 따라 '공공기관 개인정보 처리실태 점검 계획'을 수립하고, 3,000여 개의 공공기관 중 법 위반 소지가 있는 20개 공공기관을 선정하여 조사에 착수하였고, 19개 기관에서 위반사항을 확인하였습니다.

주요 법규 위반사항으로 개인정보처리시스템에 접속한 기록을 누락하는 등 접속기록을 미흡하게 관리하고, 외부에서 추가 인증절차 없이 아이디 및 비밀번호 입력만으로 개인정보처리시스템에 접근 가능하도록 하였으며, 하나의 계정을 여러 명이 공유하며 사용하거나, 비밀번호를 암호화하지 않고 송신한 사안이 있습니다.

개인정보보호위원회는 이번에 2개 교육청을 포함한 5개 지방자치단체에 개인정보보호 법규 위반에 따른 과태료를 부과하였는데, 이는 보호법 제정 이후 첫 사례입니다.

이는 지자체 등 공공기관이 민생현장에서 개인정보를 대규모로 수집·처리하는 만큼 개인정보보호 의무를 보다 철저하게 지켜 민간의 롤모델이 되어야 하며, 보호법상 과태료 부과대상의 예외가 될 수 없다는 점을 고려한 결정입니다.

개인정보보호위원회의 이번 결정이 국민의 개인정보를 대규모로 처리하는 공공기관의 개인정보보호 수준을 높이는 계기가 되기를 기대하며, 앞으로 공공기관의 개인정보보호 수준 강화를 위해 교육 강화를 포함한 다양한 방안을 담아 종합계획을 수립하는 등 노력을 지속해나가겠습니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 이번이 공공기관이 제재를 받는 첫 사례라고 하셨는데, 그 전에는 왜 제재 사례가 없었던 건지, 이번에 그리고 20곳만 대상으로 했는데, 전체 공공기관으로 조사를 확대해서 재진행할 계획 같은 건 없는 건지, 일단 그것 말씀해주시면 감사하겠습니다.

<답변> (정혜원 조사총괄과장) 두 가지 질문 주셨는데, 하나는 왜 그 전에는 없었는지에 대한 질문인데요. 이게 과태료 같은 경우에는 일반법으로 질서규제법이 있습니다. 일반적으로는 그런데요. 개인정보보호와 관련된 과태료는 개인정보보호법에 그 규정이 있고, 그 규정을 해석하는 것은 개인정보보호법을 소관하는 부처에서 가지고 있는 건데요.

이전에 있는 기관에서는 지자체를 일반적으로 같은 대상으로 생각해서 과태료를 부과하지 않았던 것으로 보이고요. 저희는 방금 말씀드렸던 것처럼 공공기관이 더욱더 의무를 잘 지켜야 되는 점, 그다음에 보호법상 지자체가 개인정보처리자에서 예외가 될 수 없다는 점을 고려해서 종합적으로 결정했습니다.

이것은 작년에 저희 8월 5일에 개인정보보호를 전담하는 중앙부처로 승격한 이후에 내린 결정이라고 이해하시면 좋을 것 같습니다.

그리고 공공기관에 대해서는 아까도 잠깐 말씀드렸는데, 공공기관에 대해서 수준 진단 저희 하는 게 있는데, 그것과 관련해서는 매년 정기적으로 조사를 하고 있고, 그런 내용을 포함하고 교육 강화도 포함해서 종합계획을 나중에 수립할 계획입니다.

<질문> 제재받은 기관 보면 대학교들이 많은데, 교육기관들이 특히 취약하게 나타났던 건가요? 그렇게 이해를 해도 되는 건가요?

<답변> (정혜원 조사총괄과장) 저희가 맨 처음에 https, 그러니까 인터넷 전송구간 암호화 관련해서 좀 미흡한 기관들을 저희가 골라서 거기서 선정한 건데요. 대학교가 처리하는 홈페이지 수가 워낙 많다 보니까 그런 경향이 좀 있었던 것 같습니다.

<질문> 방금 질문하고 연계해서 좀 궁금한 점이 있는데, 지금 9개 대학교가 이렇게 시정조치 명령을 받았잖아요? 그런데 방금 https 관련해서 미흡했다고 하셨는데, 그게 주요 원인이었던 대학기관이 많은 건지, 아니면 어떤 사항이 좀 적발된 건지 구체적으로 말씀 부탁드리겠습니다.

<답변> (정혜원 조사총괄과장) 약간 좀 복잡할 수도 있는데, 인터넷 구간 전송 암호화는 거기에 오가는 정보에 암호화를 하는 건데요. 저희는 개인정보보호위원회니까 개인정보와 관련돼서 바이오정보, 비밀정보, 고유식별정보에 암호화하는 의무를 부과하고 있습니다.

그런데 https는 그것 외에도 그냥 개인정보나 또 다른 중요한 어떤 정보에 하는 것도 포함이 되어있을 수 있어서 맨 처음에 행안부에서 서면조사한 결과를 받았는데, 거기는 개인정보에 대한 암호화보다 더 범위가 넓어서 저희가 조사를 하는 과정에서 저희 지침을 위반하지 않은 사례는 있을 수 있습니다.


<윤정태 개인정보보호위원회 조사2과장>
안녕하십니까? 조사2과장 윤정태입니다.

개인정보보호위원회는 오늘 제15회 전체회의에서 개인정보보호 법규 위반 정도가 경미한 경우 과징금 부과를 시정조치 명령으로 갈음하고, 과태료만 부과할 수 있도록 결정하였습니다.

경미한 위반행위에 대한 과징금 미부과 기준의 세부적인 내용은 보도자료를 참고하여 주십시오.

관련하여 실제 개인정보가 유출된 6개 사업자에 대하여 과징금은 부과하지 않고 총 4,800만 원의 과태료 부과 및 시정명령을 하였습니다.

개인정보보호위원회는 개인정보 유출 신고 및 언론보도 등을 계기로 각 사업자에 대하여 조사에 착수하였으며, 조사 결과 캐논코리아비즈니스솔루션, 꼼마꼼마, 라이엇게임즈코리아 3개사는 네이버폼, 구글폼을 통해 설문조사 이벤트를 진행하는 과정에서 설문조사 결과보기 옵션을 공개로 설정하여 참여자의 개인정보가 상호 간에 열람된 경우로서 개인정보보호 조치를 소홀히 한 것으로 확인되었습니다.

랜트, 이스트젠은 홈페이지 취약점에 대한 보안조치를 소홀히 하여 해커가 웹셸을 업로드하여 개인정보를 탈취하였고, 유킹은 개발자의 코딩 착오로 개인정보가 유출된 경우로서 각기 개인정보보호 조치에 미흡함이 있었습니다.

시정조치와 관련하여 캐논코리아비즈니스솔루션 등 6개 사업자에 대해 개인정보보호위원회 전체회의에서 의결된 경미한 위반행위에 대한 과징금 미부과 기준에 따라 과징금은 부과하지 않도록 결정하였습니다.

설문조사 진행과정에서 개인정보가 상호 열람된 캐논코리아비즈니스솔루션 등 3개사는 단순 실수로 인한 유출로서 피해가 미미한 경우에 해당하였고, 나머지 3개사는 최종 과징금 산정액이 300만 원 이하로, 과징금 부과의 실효성이 크지 않은 경우에 해당하였습니다.

다만, 6개 사업자의 개인정보보호 조치 위반 등 구 정보통신망법 및 개인정보보호법 위반행위에 대해서는 총 4,800만 원의 과태료를 부과하고 시정조치를 명하였습니다.

앞으로 개인정보보호위원회는 사업자의 개인정보보호 법규 위반 정도와 그 피해가 경미한 경우 과징금을 부과하지 않을 계획이며, 개인정보보호 유출 및 침해사고 등의 문제 발생 시 신속하게 조사에 착수하여 피해를 최소화하도록 하겠습니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 이게 이런 식으로 과징금을 시정명령으로 대체를 하는 게 좋겠다고 결정하게 된 배경이 있나요?

<답변> (윤정태 조사2과장) 과징금에 관한 건은 조사1과장님이 답변드리도록 하겠습니다.

<답변> (박영수 조사1과장) 개인정보보호법은 일단 개인정보처리자를 중심으로 구성이 되어있는데 특례의 경우에는 망사업자를 중심으로 되어있거든요. 거기에 과징금 하는 부분에 고시에 '시정명령으로 갈음할 수 있다.'라는 근거규정이 있고, 그것을 운영하는 데 있어서 케이스 바이 케이스 운영하는 것보다는 그것을 검토할 때 일정한 기준을 가지고 하는 것이 좀 더 체계적이고 합리적일 거라고 판단해서 이 기준을 만들어서 의결하게 됐습니다.


<김직동 개인정보보호위원회 신기술개인정보과장>
안녕하십니까? 신기술개인정보과장 김직동입니다.

생체정보 보호 가이드라인 개정 및 관련 고시에 대해 말씀드리겠습니다.

개인정보위는 생체정보의 보호와 안전한 활용을 위해 ‘생체정보 보호 가이드라인’ 개정을 준비해왔습니다.

생체정보 보호 가이드라인 개정 과정에서 생체정보 관련 용어와 개념을 명확히 할 필요가 있어 금일 관련 고시를 개정하게 되었고, 고시 개정에 맞춰 생체정보 보호 가이드라인을 공지하게 되었습니다.

최근 생체정보 이용기기의 보급이 보편화되고, 비대면 서비스 전환이 늘어나는 등 개인의 생체정보를 활용하는 사례가 증가함에 따라 개인의 고유한 정보인 생체정보에 대해 보다 강화된 보호 및 관리가 필요해졌습니다.

이에 개인정보위는 생체정보 활용 기관과 제조사 등을 대상으로 이용실태를 파악하고 이해관계자 및 전문가 의견을 수렴하여 생체정보 보호 가이드라인을 마련하고 발표하게 되었습니다.

이번 생체정보 보호 가이드라인은 기존 바이오정보 보호 가이드라인을 전면 개편한 것으로, 생체정보 보호를 위한 기본원칙과 처리 단계별 보호조치, 사례 등을 구체적으로 제시하는 안내서입니다.

기존 바이오정보 용어를 생체정보로 변경하고, 개인정보보호 법령에 따라 암호화하는 대상을 생체인식정보로 별도로 정의하였습니다.

또한, 가이드라인의 적용대상을 개인정보처리자로 확대하고, 민감정보인 생체인식 특징정보를 처리하는 경우 다른 개인정보와 별도 동의가 필요함을 안내하였습니다.

가이드라인은 생체인식정보가 처리되는 5단계에 따라 각 처리단계에서 필요한 총 15개의 보호조치를 안내하고 있습니다.

보호조치에 대한 자세한 내용은 보도자료의 ‘붙임’ 자료를 참고해주시기 바랍니다.

개인정보위는 이번 가이드라인이 생체인식정보를 안전하게 이용할 수 있는 환경 조성에 도움이 될 것으로 기대하고 있습니다.

가이드라인 공개 후 생체정보가 활용되는 현장에서 본 가이드라인이 널리 활용될 수 있도록 생체정보 이용기관, 단체, 제조사 등을 대상으로 적극적인 교육과 안내를 진행할 예정입니다.

앞으로도 기술환경의 변화 등을 반영할 수 있도록 가이드라인을 지속적으로 보완할 예정이며, 필요시 생체정보 보호 강화를 위한 법령의 제·개정도 검토할 예정입니다.

이상입니다. 감사합니다.

<끝>
운영원칙 열기

정책브리핑 게시물 운영원칙에 따라 다음과 같은 게시물은 삭제될 수 있습니다.

  • 1.타인의 메일주소, 전화번호, 주민등록번호 등의 개인정보 또는 해당 정보를 게재하는 경우
  • 2. 확인되지 않은 내용으로 타인의 명예를 훼손시기는 경우
  • 3. 공공질서 및 미풍양속에 위반되는 내용을 유포하거나 링크시키는 경우
  • 4. 욕설 및 비속어의 사용 및 특정 인종, 성별, 지역 또는 특정한 정치적 견해를 비하하는 용어를 게시하는 경우
  • 5. 불법복제, 바이러스, 해킹 등을 조장하는 내용인 경우
  • 6. 영리를 목적으로 하는 광고 또는 특정 개인(단체)의 홍보성 글인 경우
  • 7. 타인의 저작물(기사, 사진 등 링크)을 무단으로 게시하여 저작권 침해에 해당하는 글
  • 8. 범죄와 관련있거나 범죄를 유도하는 행위 및 관련 내용을 게시한 경우
  • 9. 공인이나 특정이슈와 관련된 당사자 및 당사자의 주변인, 지인 등을 가장 또는 사칭하여 글을 게시하는 경우
  • 10. 해당 기사나 게시글의 내용과 관련없는 특정 의견, 주장, 정보 등을 게시하는 경우
  • 11. 동일한 제목, 내용의 글 또는 일부분만 변경해서 글을 반복 게재하는 경우
  • 12. 기타 관계법령에 위배된다고 판단되는 경우
  • 13. 수사기관 등의 공식적인 요청이 있는 경우
운영원칙 닫기

아~차!뉴스