1. 개인정보보호법의 해석상 쟁점 2011. 10. 25. 구태언 변호사 | 행복마루 법률사무소 taeeon.koo@happy-maru.kr

2. 차 례 1. 실무상 자주 문제되는 사례들 2. 해킹 피해업체에 대한 사법기관의 동향 3. 개인정보보호법 해석상 쟁점

3. 실무상 자주 문제되는 사례들

4. l 사건명 사안 개요 결과 1 K 은행 3 만여 명 고객 개인정보 파일이 실수로 이메일에 첨부되어 약 3,700 여 명에 전송 민사 원고 승 (20 만원 ) 2 L 전자회사 채용사이트 서버가 해킹 , 입사지원자들의 각종 신상정보와 개인정보 유출 민사 원고 승 (31 명 /30 만원 ) 3 L 통신회사 가입자정보가 제 3 사이트로 전송과정에서 프로그램 코딩 미비로 개인정보 유출 민사 1 심 원고 승 (5 만원 ) 2 심 원고 패 4 K 통신회사 / S 통신회사 고객의 동의 없이 개인정보를 제 3 자에 제공하거나 취급위탁하여 제공 영업정지 등 행정재재 ( 방통위 ) 5 G 정유사 직원이 고객정보 약 1,000 만 명을 CD 에 담아 유출 형사 무혐의 민사 원고 패

5. l l 초고속통신사가 고객정보 50 만명을 신용카드사에 매도한 사안 신용카드사는 이 정보를 토대로 회원 유치 통신판매 실행 개요 1 경과 2 쟁점 3 교훈 4 경찰 수사후 부사장 입건 , 불구속 기소 되어 유죄판결 선고 1 만 8993 명이 집단소송 제기 , 2011. 10. 동의 없는 제 3 자 제공은 1 인당 20 만원 , 동의의 범위를 넘은 제 3 자 제공은 1 인당 10 만원 배상판결 선고 ( 총 37 억 5770 만원 ) ‘ 제휴 상품 소개’라는 동의 문구의 적법성 개인정보의 영업적 이용에 관련 법령 검토 미흡으로 1,000 억원대의 우발 채무를 발생시킨 사안 개인정보보호법 시행으로 위반 적발 사례 급증 예상

6. l l 필리핀 거주 한국인 해커 -> 해외 IP 이용 -> 고객정보 175 만건 해킹 5 억 입금 협박메일 도착 후 -> CCTV 를 통한 국내총책 및 인출책 검거 개요 1 경과 2 쟁점 3 교훈 4 경찰청 사이버수사대 : 정통망법에 의한 보안조치 이행여부 점검 금감원 특별 검사 ( 3 주간 ) : 상시적 보안관제 등 시스템취약점 점검 수사기관 : 기술적 , 물리적 , 관리적 기준 이행 여부 -> 회사의 과실점 검토 금감원 : 전자금융감독법규 위반여부 -> 기관 및 임직원 제재 검토 법률적 이슈화 대비 -> 초기 대응 긴요 사건 초기에서부터 다각적 , 유기적 대응 중요 ( 사건 분석 , 기관 대응 , 고객 / 언론 대응 등 )

7. l 외부 유지보수 업체 직원 -> 은행 내부망에 연결하여 작업하는 노트북에 악성 툴이 설치되어 -> 해커가 이를 매개로 내부망에 침입 -> 삭제 명령을 입력하여 -> 시스템 파일 파괴 수일 간 ATM, 인터넷뱅킹 , 폰뱅킹 , 모바일뱅킹 서비스 거래 중단 개요 1 경과 2 쟁점 3 교훈 4 금감원 및 한국은행의 특별검사 서울중앙지검 첨단수사 2 부의 수사 진행 금융기관의 경우 : 전자금융감독법규상 위반사항 -> 제재 여부 검토 유지보수업체의 경우 : 민형사책임 예상 기관 / 고객 대응 , 복구 과정 등에 있어 혼선 및 여론 악화 , 부실 대응 l

8. l l 공개용웹서버 홈페이지 팝업창의 SQL Injection 취약점 이용 -> 시스템 침입 DB 서버상의 DB 테이블 일부를 다운로드 : 약 12,500 개 개인정보 유출 개요 1 경과 2 쟁점 3 교훈 4 금감원 특별검사 (2 회 , 8 일 ) : 보안조직 및 보안규정 , 보안관제시스템 , 전산시스템 구성의 취약점 점검 경찰청 사이버수사대 : 해커 수사중 동일범의 소행으로 추정되는 타 금융기관 동시 검사 : 일괄 제재 예상 초기단계 자체대응 : 내부 부서별로 각개 대응 검사 마무리단계 : 회사의 예상과 달리 다수의 위규사항 지적 집중적 , 전문적인 대응을 통해 적절한 대응논리 제공 필요

9. 1 개인정보 수집시 고지 , 명시의무 불이행 사전 동의 없이 개인정보수집 / 이용 / 제공 만 14 세 미만 아동 개인정보의 부정수집 개인정보 수집 2 고지한 범위를 초과한 목적 외 이용 / 제공 개인정보처리 위탁시 고지의무 불이행 개인정보의 이용 및 제공 3 영업의 양수도 등의 통지의무 불이행 개인정보보호의 기술적 관리적 조치 미비 개인정보관리자의 부적격 혹은 미지정 개인정보의 유지 , 관리 4 고지한 범위를 초과한 목적 외 이용 / 제공 개인정보처리 위탁시 고지의무 불이행 개인정보의 동의철회 , 파기 / 개인 정보의 유출 , 도용 , 침해 대응처리

10. No 일시 수집 단계 침해 유형 분쟁 조정 결정례 1 2004 중고휴대폰 판매 웹사이트를 개설하면서 휴대전화번호 등 개인정보가 포함되어 있는 다른 웹사이트의 게시글을 무단으로 수집하여 자신의 게시판에 게시함 동의 없는 개인정보 수집행위에 해당함 위자료로 5 만원 지급 결정 2 2003 통신사업자가 일반전화서비스 가입고객의 정보를 자사의 초고속 인터넷 서비스 TM 에 사용하겠다는 목적을 개인정보 수집시 ( 일반전화 서비스 가입시 ) 고지하지 않음 개인정보 수집시 이용 목적 불고지 위자료 20 만원을 지급 결정 3 2003 온라인 게임사업자가 법정대리인의 동의 없이 12 세 아동의 개인정보를 수집함 사안에서 아동은 게임사이트에 가입하면서 부모의 동의가 있는 것처럼 부모의 휴대폰으로 이용요금을 결제하였음 부모는 휴대폰 결제된 이용요금의 반환을 요구함 14 세 미만자의 법정대리인 동의 없는 개인정보 수집 미성년자의 적극적사술과 부모의 관리 감독 소홀을 이유로 50% 과실상계함

11. No 일시 이용 단계 침해 유형 분쟁 조정 결정례 1 2006 이동통신회사가 증권조회서비스를 제공하는 부가서비스업체 (CP 업체 ) 에게 당해 업체에 대한 민원해결을 위하여 고객의 정보를 제공함 가입 당시 고객에게 제휴관계 / 위탁처리를 위하여 개인정보를 제공할 수 있다는 포괄적 고지는 있었음 적법한 고지 · 동의 없는 제 3 자 제공임 위자료 100 만원 지급 결정 2 2005 인터넷쇼핑몰업체가 고객들에게 이메일로 사전 동의를 구한 후 리서치 회사에 의뢰하여 설문조사 설문 조사의 안내 및 동의를 구하는 전자우편을 받지 못한 회원임에도 개인정보가 제공됨 동의 없는 제 3 자 제공에 해당함 위자료로 30 만원 지급 결정 3 2002 인터넷쇼핑몰운영자가 자신이 배포한 S/W 로 인해 컴퓨터에 이상이 생긴 고객의 항의를 해결 하고자 해당 S/W 제작업체에 고객정보를 제공함 제작업체가 고객에게 원인설명 · 치료 · 사과 등의 조치를 취하려고 연락을 취함 동의 없는 제 3 자 제공에 해당함 위자료 20 만원 지급 결정

12. No 일시 이용 단계 침해 유형 분쟁 조정 결정례 1 2004 초고속인터넷 사업자가 PC 정비 및 보안과 관련된 부가서비스 위탁사실을 고지하지 아니하고 고객의 개인정보를 부가서비스업체에 제공함 사업자의 웹사이트에도 “제휴업체가 부가 서비스를 제공한다”는 내용만 명시되어 있음 제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 개인정보 제공자 ( 통신사업자 ) 의 사무 처리를 위한 경우로 제 3 자제공이 아닌 개인정보처리위탁임 부가서비스를 위탁하여 처리하고자 하는 경우 최소한 수탁자 , 수탁관계 등을 이용자에게 고지하여야 함 2 2006 케이블방송사업자가 인터넷 통신서비스를 제공하는 자회사에 고객정보를 제공 , 자회사가 TM 실시 제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 ( 포괄적 문구로 고지 ) 개인정보취급위탁이 아닌 제 3 자 제공에 해당함 2004 온라인 보험판매 대행업자가 생명보험사에 고객 정보를 제공 , 보험사가 TM 실시 제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 ( 포괄적 문구로 고지 )

13. 해킹 피해 업체에 대한 사법기관의 동향

14. 『 경찰에 따르면 친구 사이인 최 씨 등은 2008 년 11 월부터 최근까지 중국 해커로부터 2 차례에 걸쳐 100 만원을 지급하고 국내 25 개 사이트 회원의 이름 , ID, 비밀번호 , 주민등록번호 등이 포함된 개인정보 2 천여만건을 구입해 온라인 메신저를 통해 알게 된 사람들에게 1 억 5 천만원을 받고 판매한 혐의를 받고 있다 . 』 피해 업체 2 곳도 정통망법위반죄로 입건 . 2010. 3. 11. 연합뉴스

15. 『부산경찰청 이재홍 사이버수사대장은 " 그동안의 개인정보 유출 사건과는 달리 20 여개 업체를 모두 입건해 책임을 물었다 " 며 " 개인정보 유출이 심각한 사회문제를 일으키는 만큼 이번 사건을 계기로 업체들의 취약한 정보관리의 심각성을 인식하는 계기가 됐으면 한다 " 고 말했다 . 경찰은 이들이 유통시킨 개인정보가 전화금융사기나 메신저 피싱 등에 사용됐을 가능성도 높은 것으로 보고관계기관과 함께 추가조사를 진행하고 있다 . 』 2010. 4. 8. 노컷뉴스

16. 개인정보보호법 해석상 쟁점

17. l l 개인정보보호법과 정보통신망법의 적용 범위는 ? 개인정보보호법이 적용되는 업체에 정보통신망법이 적용되는가 ? 처벌규정 등 차이가 있는 행위의 경우에 어떻게 처벌될 것인가 ? 쟁점 1 조문 2 사례 3 해석 4 개인정보보호법은 개인정보보호에 관한 기본법 , 다른 법은 특벌법 \ 개인정보보호법 제 6 조 ( 다른 법률과 관계 ) – 특별한 규정이 있으면 다른 법 적용 온라인 수집 vs. 오프라인 수집 , 양쪽 다 있는 경우 ? 온라인 서비스 vs. 오프라인 서비스 ?, 양쪽 다 있는 경우 ? 온라인 서비스 제공을 위해 수집된 개인정보는 그 수집경로가 오프라인이더라도 정보통신망법 적용 정보수집의 주 목적이 온라인 ( 오프라인 ) 서비스라면 부수적으로 오프라인 ( 온라인 ) 서비스가 제공되더라도 정보통신망법 ( 개인정보보호법 ) 적용

18. l l 법 22 조 2 항 소정의 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보의 의미는 ? 동의가 필요한 정보를 동의 없이 처리한 경우 처벌은 ? 쟁점 1 조문 2 사례 3 해석 4 동의가 필요 없는 정보 : 수집 / 이용 - 15 조 1 항 2 호 ~6 호 , 제 3 자 제공 - 17 조 2 호 (=15 조 1 항 2 호 , 3 호 , 5 호 ) 15 조 1 항 2 호 ( 법률상 특별규정 , 법령상 의무 준수 불가피 ), 3 호 ( 공공기관이 법령상 업무수행 불가피 ), 4 호 ( 정보주체와 계약의 체결 및 이행 불가피 ), 5 호 ( 정보주체 소재불명시 그 또는 제 3 자의 생명 , 신체 , 재산 이익 ), 6 호 ( 개인정보처리자의 정당한 이익이 명백한 경우 ) 동의서에 이를 구분하여 기재하여야 함 위반시 1 ,000 만원 이하 과태료 ( 법 75 조 3 항 2 호 ) 서비스 / 재화를 공급받을 상대방의 이름 , 연락처 , 주소 등 / 국세청에 제출할 거래내역 ( 거래 상대방 , 계약금액 , 계약일 등 ) / 채권추심을 위해 추심업체에 채무자 , 채무 정보를 제공할 경우 등

19. l l 안전성 확보에 관한 고시에 따라 PC 에 고유식별정보를 저장할 경우 암호화 의무 쟁점 1 조문 2 사례 3 해석 4 안전성 확보에 관한 고시 7 조 8 항 : 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리할 경우 상용암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다 . 고시 위반하여 개인정보 분실 , 도난 , 유출 , 변조 , 훼손시 2 년 이하 징역 or 1 천만원 이하 벌금 어플리케이션이 제공하는 암호화 기능도 이에 해당한다고 보아야 함 안전한 암호 알고리즘이란 , 현재 시대적 상황 / 구축에 소요되는 비용 / 기업의 재정적 능력에 비추어 도입 가능한 적절한 암호 알고리즘으로 일반적으로 받아들여지는 것 업무용 일반 어플리케이션 프로그램 (MS Office, Oracle 등 ) 의 암호화기능도 이에 포함하는가 ? 안전한 암호화 알고리즘의 의미는 ?

20. l l 법 21 조에 따라 개인정보를 파기할 때 복구 또는 재생되지 아니하도록 할 조치의무 시행령 16 조에 따른 영구 삭제 , 파쇄 , 소각의 의미 쟁점 1 조문 2 사례 3 해석 4 법 21 조 2 항 개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다 . 시행령 16 조 : 전자적 파일은 복원 불가능한 방법으로 영구 삭제 , 기록물 등 기록매체인 경우에는 파쇄 또는 소각 표준개인정보보호지침 11 조 2 항 : 복원이 불가능한 방법이란 , 사회통념상 현재의 기술 수준에서 적절한 비용이 소요되는 방법 상용 영구삭제프로그램 , 전자기 소거기 , 문서파쇄기 등을 활용하면 법준수성 도달 휴지통을 비우는 것 만으로는 복구프로그램으로 복구 가능하므로 법위반 소지 손으로 찢거나 CD 를 반토막내는 것은 논쟁 소지 위반시 형사처벌 , 과태료는 없으나 민사상 손해배상의 원인인 불법행위가 됨 PC 의 경우에 윈도즈 휴지통을 비우면 충분한가 ? 기록매체의 경우 손으로 여러번 찢거나 , CD 의 경우에 부수면 충분한가 ?

21. 감사합니다 .

22. Q & A